Azure Kubernetes Service: elevación de privilegios de un nodo en peligro al clúster (CVE-2020-8559)

Si un atacante consigue interceptar ciertas solicitudes dirigidas al kubelet en Azure Kubernetes Service (AKS), puede enviar una respuesta de redirección que un cliente puede seguir con las credenciales de la solicitud original. Esto puede poner en peligro otros nodos.

Si varios clústeres comparten la misma entidad de certificación de confianza del cliente y las mismas credenciales de autenticación, esta vulnerabilidad puede permitir que un atacante redirija el cliente a otro clúster. Con esta configuración, esta vulnerabilidad debe considerarse de alta gravedad.

¿Soy vulnerable?

Solo se verá afectado por esta vulnerabilidad si trata el nodo como un límite de seguridad, ya que los clústeres de AKS no comparten las entidades de certificación ni las credenciales de autenticación.

Tenga en cuenta que esta vulnerabilidad requiere que un atacante ponga en peligro primero un nodo por otros medios.

Versiones **ascendentes**afectadas

• kube-apiserver v1.18.0-1.18.5
• kube-apiserver v1.17.0-1.17.8
• kube-apiserver v1.16.0-1.16.12
• Todas las versiones de kube-apiserver anteriores a v1.16.0

Versiones de **AKS** afectadas

AKS aplica revisiones automáticamente a los componentes de plano de control de todas las versiones de Kubernetes que están disponibles con carácter general.

• kube-apiserver <v1.18.6
• kube-apiserver <v1.17.7
• kube-apiserver <v1.16.10
• Y todas las versiones de kube-apiserver anteriores a v1.15.11

¿Cómo se puede mitigar esta vulnerabilidad?

AKS aplicará una revisión automáticamente a los planos de control de las versiones que están disponibles con carácter general (GA). Si usted utiliza una versión GA de AKS, no tiene que hacer nada.
Si no utiliza una versión GA de AKS, debe actualizarla.

Haga clic aquí para obtener información completa, incluida la lista de versiones afectadas y los pasos para la mitigación.