NYNÍ K DISPOZICI

Ohrožení zabezpečení CNI ve starších clusterech AKS a kroky pro zmírnění rizika

Datum publikování: 01 června, 2020

Zjistili jsme chybu zabezpečení ve službě CNI (Container Networking Implementation) v modulu plug-in CNI verze 0.8.6 a starším, která může mít vliv na starší clustery AKS (CVE-2020-10749).

Podrobnosti

Cluster AKS nakonfigurovaný tak, aby používal ovlivněnou implementaci CNI, je náchylný k útokům MitM (man-in-the-middle). Po odeslání podvodných inzerování směrovače může škodlivý kontejner překonfigurovat hostitele, aby částečně nebo zcela přesměrovával přenos protokolu IPv6 hostitele do kontejneru ovládaného útočníkem. I když předtím žádný provoz IPv6 neexistoval, pokud DNS vrátí záznamy A (IPv4) a AAAA (IPv6), mnoho knihoven HTTP se nejdřív pokusí o připojení prostřednictvím protokolu IPv6, a teprve pak přejde zpět k protokolu IPv4, což útočníkovi poskytuje možnost reagovat.

Této chybě zabezpečení byla udělena střední počáteční závažnost se skóre 6,0.

Analýza a ověřování ohrožení zabezpečení

Všechny clustery AKS vytvořené nebo upgradované pomocí image uzlu verze novější nebo rovnající se „2019.04.24“ nejsou ohrožené, protože nastavují parametr net.ipv6.conf.all.accept_ra na hodnotu 0 a vynucují protokol TLS s řádným ověřením certifikátu.

Clustery vytvořené nebo naposledy upgradované před tímto datem jsou k tomuto ohrožení zabezpečení náchylné.

Pokud chcete ověřit, jestli váš aktuální image uzlu zranitelný, spusťte na počítači s přístupem CLI k uzlům clusteru https://aka.ms/aks/MitM-check-20200601.

Uzly Windows nejsou tímto ohrožením zabezpečení ovlivněné.

Zmírnění rizika

Pokud zjistíte uzly, které jsou ohrožené, můžete zmírnit riziko tím, že provedete upgrade clusteru pomocí následujícího příkazu:
$ az aks upgrade -n <název clusteru> -g <skupina prostředků clusteru> -k <novější podporovaná verze kubernetes>.

Kromě toho je pro tuto chybu CVE k dispozici trvalá oprava: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. AKS vydá tuto opravu s nejnovější verzí VHD.

Další informace

 

  • Security