Uma vulnerabilidade de segurança de extrema gravidade foi revelada no serviço Red Hat OpenShift AI, com potencial para permitir que invasores elevem seus privilégios de forma perigosa e, em certas condições, assumam o controle completo de toda a infraestrutura de nuvem híbrida subjacente.

O OpenShift AI é a plataforma da Red Hat dedicada ao gerenciamento do ciclo de vida de modelos de Inteligência Artificial (IA) preditiva e generativa (GenAI) em larga escala. Ele é fundamental para a aquisição de dados, treinamento de modelos e monitoramento em ambientes de nuvem híbrida, tornando qualquer falha em sua segurança particularmente preocupante.

A falha, identificada como CVE-2025-10725, ostenta uma pontuação CVSS de 9,9 de um máximo de 10,0, indicando um impacto quase máximo. Surpreendentemente, a Red Hat a classificou como "Importante" e não "Crítica", justificando a decisão pela necessidade de o invasor possuir autenticação prévia para explorar o ambiente.

A Red Hat detalhou o cenário de ataque: "Um invasor com poucos privilégios e acesso a uma conta autenticada, por exemplo, como um cientista de dados usando um notebook Jupyter padrão, pode aumentar seus privilégios para um administrador de cluster completo".

O resultado é um comprometimento devastador: "Isso permite o comprometimento total da confidencialidade, integridade e disponibilidade do cluster," afirma a Red Hat. "O invasor pode roubar dados confidenciais, interromper todos os serviços e assumir o controle da infraestrutura subjacente, levando a uma violação total da plataforma e de todos os aplicativos hospedados nela."

De acordo com relatórios técnicos, a vulnerabilidade decorre de um ClusterRole excessivamente permissivo. Essa configuração permite que qualquer usuário autenticado eleve seus privilégios para o nível de administrador de cluster.

O ataque explora a permissão concedida a entidades autenticadas – incluindo contas de serviço de baixo privilégio para workbenches de usuários – para criar Jobs do OpenShift em qualquer namespace. Um hacker pode então abusar dessa permissão para agendar um Job malicioso em um namespace privilegiado (como openshift-apiserver-operator), configurando-o para ser executado com uma ServiceAccount de alto privilégio.

Em última análise, esse comportamento permite ao invasor agendar uma tarefa que pode exfiltrar o token ServiceAccount, escalando progressivamente o acesso a contas mais poderosas até obter acesso root nos nós mestres do cluster e, finalmente, realizar a tomada de controle total.

Versões Afetadas e Mitigações Revistas

As versões afetadas pela falha são:

• Red Hat OpenShift AI 2.19

• Red Hat OpenShift AI 2.21

Inicialmente, a subsidiária da IBM havia sugerido mitigações manuais, como evitar a concessão de permissões amplas a grupos de nível de sistema e revogar um ClusterRoleBinding específico.

Contudo, em uma revisão subsequente, a Red Hat observou que essas mitigações "não atendem" aos seus "critérios de segurança do produto, incluindo facilidade de uso e implantação", sinalizando a necessidade de um patch oficial e direto para a correção definitiva do erro.

Via - THN