Azure Kubernetes Service : élévation des privilèges du nœud compromis au cluster (CVE-2020-8559)

Date de publication : 01 septembre, 2020

Si une personne malveillante est en mesure d’intercepter certaines requêtes adressées à Kubelet dans le service Kubernetes Azure (AKS), elle peut envoyer une réponse de redirection qui peut être suivie par un client à l’aide des informations d’identification de la requête d’origine. Cela peut entraîner la compromission d’autres nœuds.

Si plusieurs clusters partagent la même autorité de certification approuvée par le client et les mêmes informations d’identification d’authentification, cette vulnérabilité peut permettre à une personne malveillante de rediriger le client vers un autre cluster. Dans cette configuration, cette vulnérabilité doit être considérée comme un niveau de gravité élevé.

Suis-je vulnérable ?

Vous êtes affecté uniquement par cette vulnérabilité si vous traitez le nœud comme une limite de sécurité, car, dans AKS, les clusters ne partagent pas les autorités de certification et les informations d’identification d’authentification.

Notez que cette vulnérabilité exige qu’une personne malveillante endommage d’abord un nœud par des moyens distincts.

Versions **en amont** affectées

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • toutes les versions de kube-apiserver antérieures à la v1.16.0

Versions **AKS** affectées

AKS corrige automatiquement les composants du plan de contrôle de toutes les versions de kubernetes.

  • kube-apiserver < v1.18.6
  • kube-apiserver < v1.17.7
  • kube-apiserver < v1.16.10
  • et toutes les versions de kube-apiserver antérieures à la v1.15.11

Comment faire pour atténuer cette vulnérabilité ?

AKS met automatiquement à jour les plans de contrôle de ses versions en disponibilité générale. Si vous utilisez une version d’AKS en disponibilité générale, aucune action n’est requise.
Si votre version d’AKS n’est pas en disponibilité générale, veuillez effectuer la mise à niveau.

Cliquez ici pour obtenir des informations complètes, notamment la liste des versions impactées et les étapes d’atténuation.

  • Service Azure Kubernetes (AKS)
  • Security