Ohrožení zabezpečení CNI ve starších clusterech AKS a kroky pro zmírnění rizika
Datum publikování: 01 června, 2020
Zjistili jsme chybu zabezpečení ve službě CNI (Container Networking Implementation) v modulu plug-in CNI verze 0.8.6 a starším, která může mít vliv na starší clustery AKS (CVE-2020-10749).
Podrobnosti
Cluster AKS nakonfigurovaný tak, aby používal ovlivněnou implementaci CNI, je náchylný k útokům MitM (man-in-the-middle). Po odeslání podvodných inzerování směrovače může škodlivý kontejner překonfigurovat hostitele, aby částečně nebo zcela přesměrovával přenos protokolu IPv6 hostitele do kontejneru ovládaného útočníkem. I když předtím žádný provoz IPv6 neexistoval, pokud DNS vrátí záznamy A (IPv4) a AAAA (IPv6), mnoho knihoven HTTP se nejdřív pokusí o připojení prostřednictvím protokolu IPv6, a teprve pak přejde zpět k protokolu IPv4, což útočníkovi poskytuje možnost reagovat.
Této chybě zabezpečení byla udělena střední počáteční závažnost se skóre 6,0.
Analýza a ověřování ohrožení zabezpečení
Všechny clustery AKS vytvořené nebo upgradované pomocí image uzlu verze novější nebo rovnající se „2019.04.24“ nejsou ohrožené, protože nastavují parametr net.ipv6.conf.all.accept_ra na hodnotu 0 a vynucují protokol TLS s řádným ověřením certifikátu.
Clustery vytvořené nebo naposledy upgradované před tímto datem jsou k tomuto ohrožení zabezpečení náchylné.
Pokud chcete ověřit, jestli váš aktuální image uzlu zranitelný, spusťte na počítači s přístupem CLI k uzlům clusteru https://aka.ms/aks/MitM-check-20200601.
Uzly Windows nejsou tímto ohrožením zabezpečení ovlivněné.
Zmírnění rizika
Pokud zjistíte uzly, které jsou ohrožené, můžete zmírnit riziko tím, že provedete upgrade clusteru pomocí následujícího příkazu:
$ az aks upgrade -n <název clusteru> -g <skupina prostředků clusteru> -k <novější podporovaná verze kubernetes>.
Kromě toho je pro tuto chybu CVE k dispozici trvalá oprava: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. AKS vydá tuto opravu s nejnovější verzí VHD.
Další informace