DISPONIBLE IMMÉDIATEMENT

Vulnérabilité de sécurité CNI dans d’anciens clusters AKS et procédure d’atténuation

Date de publication : 01 juin, 2020

Une faille de sécurité a été identifiée lors de l’implémentation de mise en réseau du conteneur (CNI) dans les versions de plug-in CNI v0.8.6 et plus anciennes qui peuvent affecter les anciens clusters AKS (CVE-2020-10749).

Détails

Un cluster AKS configuré pour utiliser une implémentation de mise en réseau de conteneur affectée est vulnérable aux attaques de l’intercepteur. En envoyant des publications de routeur « non fiables », un conteneur malveillant peut reconfigurer l’hôte pour rediriger une partie ou l’intégralité du trafic IPv6 de l’hôte vers le conteneur contrôlé par l’attaquant. Même s’il n’y avait pas de trafic IPv6 auparavant, si le DNS retourne des enregistrements A (IPv4) et AAAA (IPv6), de nombreuses bibliothèques HTTP essaient de se connecter via IPv6, puis de revenir à IPv4, ce qui donne à l’attaquant la possibilité de réagir.

Cette vulnérabilité a été définie comme étant d’une sévérité initiale moyenne avec un score de 6.0.

Analyse et vérification des vulnérabilités

Tous les clusters AKS créés ou mis à niveau avec une version d’image de nœud ultérieure ou égale à « 2019.04.24 » ne sont pas vulnérables, car ils définissent net.ipv6.conf.all.accept_ra sur 0 et appliquent le protocole TLS avec la validation de certificat appropriée.

Les clusters créés ou mis à jour pour la dernière fois avant cette date sont exposés à cette vulnérabilité.

Vous pouvez vérifier si votre image de nœud actuelle est vulnérable en exécutant : https://aka.ms/aks/MitM-check-20200601 sur un ordinateur disposant d’un accès CLI aux nœuds du cluster.

Les nœuds Windows ne sont pas affectés par cette vulnérabilité.

Mitigation

Si vous identifiez des nœuds vulnérables, vous pouvez atténuer la vulnérabilité en effectuant une mise à niveau du cluster à l’aide de la commande suivante :
$ az aks upgrade -n <cluster name> -g <cluster resource group> -k <newer supported kubernetes version>.

En outre, un correctif permanent pour ce CVE est disponible à l’adresse suivante : https://github.com/containernetworking/plugins/releases/tag/v0.8.6. AKS déploie ce correctif sur la version de VHD la plus récente.

En savoir plus 

 

  • Security