主要观点：Akamai 安全研究员 Tomer Peled 发现 Kubernetes 中的命令注入漏洞[CVE-2024-9042]，可在所有 Windows 端点实现远程代码执行（RCE），集群需配置新日志机制“Log Query”才会受影响，通过简单 GET 请求可触发漏洞，成功利用可完全接管集群，该漏洞可在默认安装的 Kubernetes 中利用，本文提供了概念证明 curl 命令及缓解措施。
关键信息：

• 漏洞发现者为 Tomer Peled，他是 Akamai 的安全研究员。
• 漏洞可导致远程代码执行，影响 Windows 节点，集群需运行“Log Query”。
• 利用漏洞需指定日志到 ETW 的服务，Calico 环境下可通过 Non-Sucking Service Manager（NSSM）利用。
• 已分配 CVE 编号，Kubernetes 已发布漏洞修复，建议及时补丁。
• 可通过角色访问控制（RBAC）缓解风险，蓝队应留意异常行为。
  重要细节：
• Log Query 可通过 CLI 或 curl 查询远程机器状态，发现其在构建 PowerShell 命令时未验证用户输入，仅验证服务名，Pattern 参数未验证。
• 尝试多种命令注入方法后发现问题在于日志框架，Calico 环境下 NSSM 可利用该漏洞。
• 展示了漏洞利用的 curl 命令及需注意的字符转义。
• 可通过检查集群控制器的命令判断是否受影响，以及查看“feature-gate”启动参数确定是否启用该功能。
• Kubernetes 通过使用环境变量“kubelet_pattern”修复漏洞，强调及时补丁的重要性。