Navigation überspringen
JETZT VERFÜGBAR

CNI-Sicherheitsanfälligkeit in älteren AKS-Clustern und Schritte zur Risikominderung

Veröffentlichungsdatum: 01 Juni, 2020

Bei der Containernetzwerkimplementierung (Container Networking Implementation, CNI) in der CNI-Plug-in-Version v0.8.6 und älter wurde ein Sicherheitsrisiko identifiziert, das Auswirkungen auf ältere AKS-Cluster (CVE-2020-10749) haben kann.

Details

Ein AKS-Cluster, der für die Verwendung einer betroffenen Containernetzwerkimplementierung konfiguriert ist, ist anfällig für Man-in-the-Middle-Angriffe (MitM). Durch das Senden „betrügerischer“ Routerankündigungen kann ein böswilliger Container den Host so umkonfigurieren, dass ein Teil oder der gesamte IPv6-Datenverkehr des Hosts an den vom Angreifer verwalteten Container umgeleitet wird. Auch wenn zuvor kein IPv6-Datenverkehr vorhanden war, versuchen viele HTTP-Bibliotheken zunächst, eine Verbindung über IPv6 herzustellen und dann einen Fallback auf IPv4 durchzuführen, wenn das DNS einen A-Datensatz (IPv6) bzw. AAAA-Datensatz (IPv4) zurückgibt. Auf diese Weise kann der Angreifer darauf antworten.

Diesem Sicherheitsrisiko wurde anfänglich der Schweregrad „Mittel“ mit der Bewertung 6,0 zugewiesen.

Sicherheitsrisikoanalyse und Überprüfung

Alle AKS-Cluster, die mit der Knotenimageversion 2019.04.24 oder höher erstellt oder aktualisiert wurden, sind nicht anfällig, da hier net.ipv6.conf.all.accept_ra auf 0 (Null) festgelegt ist und TLS mit einer ordnungsgemäßen Zertifikatüberprüfung erzwungen wird.

Cluster, die vor diesem Datum erstellt oder zuletzt aktualisiert wurden, sind für dieses Sicherheitsrisiko anfällig.

Sie können überprüfen, ob Ihr aktuelles Knotenimage anfällig ist, indem Sie Folgendes auf einem Computer mit CLI-Zugriff auf die Knoten des Clusters ausführen: https://aka.ms/aks/MitM-check-20200601.

Windows-Knoten sind nicht von diesem Sicherheitsrisiko betroffen.

Risikominderung

Wenn Sie anfällige Knoten identifizieren, können Sie das Sicherheitsrisiko verringern, indem Sie mithilfe des folgenden Befehls ein Clusterupgrade ausführen:
$ az aks upgrade -n <cluster name> -g <cluster resource group> -k <newer supported kubernetes version>.

Außerdem ist eine permanente Korrektur für diese CVE unter https://github.com/containernetworking/plugins/releases/tag/v0.8.6 verfügbar. AKS führt diese Korrektur in der neuesten VHD-Version aus.

Weitere Informationen

 

  • Security