早期 AKS 群集中的 CNI 安全漏洞及缓解步骤
发布日期:六月 01, 2020
在容器网络实现 (CNI) 插件版本 v0.8.6 及更早版本中发现了安全漏洞,它们可能会影响旧版 AKS 群集 (CVE-2020-10749)。
详细信息
配置为使用受影响的容器网络实现的 AKS 群集容易遭受中间人 (MitM) 攻击。通过发送“流氓”路由器播发,恶意容器可以重新配置主机,将部分或全部主机 IPv6 流量重定向到受攻击者控制的容器。即使之前没有 IPv6 通信,如果 DNS 返回 A (IPv4) 和 AAAA (IPv6) 记录,许多 HTTP 库会先尝试通过 IPv6 进行连接,然后回退到 IPv4,让攻击者有机会进行响应。
为此漏洞指定的初始严重性为中等,分数为 6.0。
漏洞分析和验证
使用“2019.04.24”或更新的节点映像版本创建或升级的所有 AKS 群集都不容易受到攻击,因为它们将 net.ipv6.conf.all.accept_ra 设置为 0,并通过适当的证书验证强制执行 TLS。
在该日期之前创建或最后升级的群集易受此漏洞的影响。
可以通过在可通过 CLI 访问群集节点的计算机上运行 https://aka.ms/aks/MitM-check-20200601 来验证当前节点映像是否易受攻击。
Windows 节点不受此漏洞影响。
缓解
如果识别到易受攻击的节点,可以使用以下命令执行群集升级以缓解此漏洞的影响:
$ az aks upgrade -n <群集名称> -g <群集资源组> -k <更新的、受支持的 kubernetes 版本>。
此外,还可在以下位置找到此 CVE 的永久修复:https://github.com/containernetworking/plugins/releases/tag/v0.8.6。AKS 将在最新 VHD 版本中推出此修复。
了解更多信息