查看原文
其他

无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响

Sergiu Gatlan 代码卫士 2022-04-06

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队


Kubernetes 产品安全委员会发布了关于如何临时阻止攻击者利用某 0day 漏洞的建议。该漏洞可导致攻击者在中间人攻击中拦截多租户 K8s 群集中其它 pod 的流量。



K8s 最初由谷歌开发,目前由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源系统,旨在对容器化工作负载、服务和应用在主机群集上的部署、规模化和管理进行自动化。自动化通过将 app 容器组织为 pod、节点(物理机或虚拟机)和群集实现,其中多个节点形成一个由主节点管理的群集,该主节点负责协调和群集相关的任务如扩展、调度或更新应用程序。


受影响服务并未大规模部署


该漏洞是由Anevia 公司研究员A Etienne Champetier 报告的中危漏洞,编号为 CVE-2020-8554。攻击者只需基本的租户权限(如创建或编辑服务和 pod),就能够远程利用该漏洞,无需任何用户交互。

该漏洞是一个设计缺陷,影响所有的 K8s 版本,其中多租户群集可导致租户创建并更新服务和 pod,使其易受攻击。

在苹果公司负责 K8s 安全工作的软件工程师 Tim Allclair 在安全公告中指出,“如果潜在的攻击者已经能够创建或编辑服务和 pod,则就能够拦截群集中其它 pod(或节点)中的流量。如果通过一个任意的外部 IP 创建服务,则该外部 IP 源自群集中的流量将被路由到该服务。这就导致具有以外部 IP 创建服务的权限的攻击者将流量拦截到任意目标 IP。“

幸运的是,鉴于外部 IP 服务并不广泛应用于多租户群集中,因此该漏洞应该仅影响少量 K8s 部署,因此不建议授予多租户用户 LoadBalancer 补丁服务/状况的权限。


如何拦截 exploit


由于 K8s 开发团队尚未发布安全更新解决该漏洞,因此建议管理员限制对易受攻击功能的访问权限,从而缓解该漏洞。用户可使用允许进入 Webhook 容器限制外部 IP 的使用,源代码和部署指南可见:https://github.com/kubernetes-sigs/externalip-webhook。此外,也可通过Open Policy Agent Gatekeeper 策略控制限制外部 IP。

目前并不存在针对LoadBalancer IP 的缓解措施,原因是所推荐的配置并不受影响,但如需限制,则关于外部IP的建议也适用于 LoadBalancer IP。

要检测尝试利用该漏洞的攻击活动,用户必须手动审计使用易受攻击特征的多租户群集中的外部 IP使用情况。Allclair 表示,“外部 IP 服务的使用范围并不广大,因此我们建议手动审计外部 IP 的使用情况。用户不应当修复服务状态,因此如果出现需认证修复服务状态的审计事件,则需引起注意。”




推荐阅读
Kubernetes CLI 工具被曝严重漏洞,谷歌K8S也受影响
FortiGate VPN 默认配置可导致中间人攻击




原文链接
https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/


题图:Pixabay License


本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。


奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "” 吧~



您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存