Omitir navegación
YA DISPONIBLE

Vulnerabilidad de seguridad de CNI en clústeres de AKS anteriores y pasos de mitigación

Fecha de publicación: 01 junio, 2020

Se ha identificado una vulnerabilidad de seguridad en la implementación de redes de contenedor (CNI) en las versiones 0.8.6 y anteriores del complemento de CNI que podría afectar a los clústeres de AKS anteriores (CVE-2020-10749).

Detalles

Un clúster de AKS configurado para usar una implementación de red de contenedor afectada es susceptible ante ataques de tipo "Man in the Middle" (MitM). Mediante el envío de anuncios de enrutador "dudosos", un contenedor malintencionado puede volver a configurar el host para redirigir parte del tráfico IPv6 (o todo) del host al contenedor controlado por el atacante. Incluso si no hubiera tráfico IPv6 antes, si el DNS devuelve registros A (IPv4) y AAAA (IPv6), muchas bibliotecas HTTP intentarán conectarse primero a través de IPv6 y, a continuación, a IPv4 como opción de reserva, lo que da la oportunidad de que responda el atacante.

A esta vulnerabilidad se le ha proporcionado una gravedad inicial de categoría media con una puntuación de 6,0.

Comprobación y análisis de vulnerabilidades

Todos los clústeres de AKS creados o actualizados con una versión de imagen de nodo posterior o igual a "2019.04.24" no son vulnerables, ya que establecen net.ipv6.conf.all.accept_ra en 0 y aplican TLS con la validación de certificado adecuada.

Los clústeres creados o actualizados por última vez antes de esa fecha son susceptibles a esta vulnerabilidad.

Puede comprobar si la imagen del nodo actual es vulnerable mediante la ejecución de https://aka.ms/aks/MitM-check-20200601 en un equipo que tenga acceso de CLI a los nodos del clúster.

Los nodos de Windows no están afectados por esta vulnerabilidad.

Mitigación

Si identifica los nodos que son vulnerables, puede mitigar la vulnerabilidad mediante una actualización de clúster con el siguiente comando:
$ az aks upgrade -n <nombre de clúster> -g <grupo de recurso de clúster> -k <versión de kubernetes admitida más reciente>.

Además, hay una corrección permanente para este CVE disponible en: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. AKS está implementando esta corrección en la versión más reciente del VHD.

Más información

 

  • Security