A flaw was found in the OpenShift Cloud Credential Operator Mint-mode IAM policies for AWS. Operator credentials are provisioned with account-wide scope for destructive actions rather than being restricted to cluster-owned resources, enabling cross-scope impact after credential compromise.
OpenShift Cloud Credential Operator in Mint-mode has overly permissive AWS IAM policies that grant account-wide destructive capabilities instead of restricting access to cluster-owned resources. Compromised operator credentials could enable attackers to perform destructive actions across the entire AWS account, not just the target cluster.
يحتوي مشغل بيانات اعتماد OpenShift في وضع Mint-mode على خلل في سياسات AWS IAM حيث يتم توفير بيانات اعتماد المشغل بنطاق واسع على مستوى الحساب لإجراءات تدميرية. هذا يسمح بتجاوز النطاق والتأثير على موارد خارج الكلستر المستهدف عند اختراق بيانات الاعتماد. الخطر يكمن في القدرة على حذف أو تعديل موارد AWS حرجة عبر الحساب بالكامل.
OpenShift Cloud Credential Operator في وضع Mint-mode يحتوي على سياسات AWS IAM واسعة جداً تمنح قدرات تدميرية على مستوى الحساب بدلاً من تقييدها بموارد الكلستر فقط. بيانات اعتماد المشغل المخترقة قد تمكن المهاجمين من تنفيذ إجراءات تدميرية عبر حساب AWS بالكامل.
Immediately update OpenShift to the latest patched version. Review and restrict IAM policies for the Cloud Credential Operator to use least-privilege principles with resource-level restrictions. Implement scope-limited policies that only permit actions on cluster-owned resources. Audit all operator credentials and rotate them after applying the patch. Enable CloudTrail logging and monitor for unauthorized API calls.
قم بتحديث OpenShift فوراً إلى أحدث إصدار مصحح. راجع وقيد سياسات IAM لمشغل بيانات الاعتماد السحابية باستخدام مبادئ أقل امتياز مع قيود على مستوى الموارد. طبق سياسات محدودة النطاق تسمح فقط بالإجراءات على موارد الكلستر. قم بتدقيق جميع بيانات اعتماد المشغل وأعد تعيينها بعد تطبيق التصحيح. فعّل تسجيل CloudTrail ومراقبة استدعاءات API غير المصرح بها.