數(shù)據加密|圖紙加密|信息加密|文檔加密-Wonder Tech-上海騰赫信息科技有限公司

Kubernetes (簡稱K8s)是是一個(gè)開(kāi)源的，用于管理(lǐ)雲平台中多(duō)個(gè)主機上(shàng)的容器(qì)化的應用，Kubernetes的目标是讓部署容器(qì)化的應用簡單并且高(gāo)效，Kubernetes提供了應用部署、規劃、更新、維護的一種機制(zhì)。K8s 最早是由谷歌(gē)開(kāi)發的，目前由Cloud Native Computing Foundation 基金會(huì)維護。

漏洞概述

研究人(rén)員在K8s 中發現一個(gè)影(yǐng)響所有(yǒu)K8s版本的設計(jì)漏洞，允許租戶創建和(hé)更新服務的多(duō)租戶集群成為(wèi)最易受到攻擊的目标。如果攻擊者可(kě)以創建或編輯服務或pod，可(kě)能就可(kě)以攔截集群中來(lái)自其他pod的流量。如果用任意的外部IP 來(lái)創建一個(gè)服務，集群中到該IP 的流量就會(huì)被路由到該服務，這樣有(yǒu)權限利用外部IP 來(lái)創建服務的攻擊者就可(kě)以攔截到任意目标IP的流量。

CVE-2020-8554漏洞是中危漏洞，有(yǒu)創建和(hé)編輯服務和(hé)pod等基本租戶權限的攻擊者可(kě)以在沒有(yǒu)任何用戶交互的情況下遠程利用該漏洞。

由于External IP （外部IP）服務并沒有(yǒu)廣泛應用于多(duō)租戶集群中，而且授予租戶LoadBalancer IP 的補丁服務/狀态權限并不推薦，因此該漏洞隻影(yǐng)響少(shǎo)量的Kubernetes 部署。

如何攔截CVE-2020-8554漏洞利用

雖然Kubernetes 開(kāi)發團隊還(hái)沒有(yǒu)提供安全補丁，但(dàn)是Kubernetes産品安全委員會(huì)已經就如何臨時(shí)攔截該漏洞利用提供了建議。建議通(tōng)過限制(zhì)對有(yǒu)漏洞的特征的訪問來(lái)應對CVE-2020-8554漏洞。此外，還(hái)可(kě)以用admission webhook container來(lái)限制(zhì)對外部IP的使用，源碼和(hé)部署指南參見 https://github.com/kubernetes-sigs/externalip-webhook

使用Open Policy Agent Gatekeeper 策略控制(zhì)器(qì)來(lái)實現對外部IP 的限制(zhì)，具體(tǐ)參見：https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip

轉自嘶吼網/ang010ela

本文翻譯自：https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability