FÅS NU

CNI-sikkerhedsrisiko i ældre AKS-klynger og trin til afhjælpning

Dato for publicering: 01 juni, 2020

Der er identificeret en sikkerhedsrisiko i CNI (Container Networking Implementation) i CNI-pluginversionerne v0.8.6 og ældre, som kan påvirke ældre AKS-klynger (CVE-2020-10749).

Detaljer

En AKS-klynge, der er konfigureret til at bruge en påvirket CNI, er modtagelig over for MitM-angreb (Man in the Middle). Ved at sende "uægte" routerannoncer kan en skadelig objektbeholder omkonfigurere værten til at omdirigere dele af eller al værtens IPv6-trafik til den objektbeholder, der styres af personen med ondsindede hensigter. Selvom der ikke tidligere var nogen IPv6-trafik, vil mange HTTP-biblioteker forsøge at oprette forbindelse via IPv6 først, inden de vender tilbage til IPv4, hvis DNS returnerer poster af typen A (IPv4) og AAAA (IPv6), hvilket giver personen med ondsindede hensigter mulighed for at reagere.

Denne sikkerhedsrisiko har fået en indledende alvorsgrad på Mellem med en score på 6.0.

Analyse og bekræftelse af sikkerhedsrisiko

Alle AKS-klynger, der er oprettet eller opgraderet med en nodeafbildningsversion, der er nyere end eller lig med "2019.04.24", er ikke sårbare, da de angiver net.ipv6.conf.all.accept_ra til 0 og håndhæver TLS med korrekt certifikatvalidering.

Klynger, der er oprettet eller senest opgraderet før denne dato, er modtagelige over for denne sikkerhedsrisiko.

Du kan kontrollere, om din aktuelle nodeafbildning er sårbar, ved at køre: https://aka.ms/aks/MitM-check-20200601 på en maskine, der har adgang til klyngens noder via kommandolinjegrænsefladen.

Windows-noder påvirkes ikke af denne sikkerhedsrisiko.

Afhjælpning

Hvis du identificerer de noder, der er sårbare, kan du afhjælpe sikkerhedsrisikoen ved at opgradere klyngen ved hjælp af følgende kommando:
$ az aks upgrade -n <cluster name> -g <cluster resource group> -k <newer supported kubernetes version>.

En permanent løsning til CVE er desuden tilgængelig på: https://github.com/containernetworking/plugins/releases/tag/v0.8.6 . AKS udruller denne rettelse på den nyeste VHD-version.

Få mere at vide

 

  • Security