MÁR ELÉRHETŐ

CNI típusú biztonsági rések a régebbi AKS-fürtökben és kockázatcsökkentő lépések

Közzététel dátuma: június 01, 2020

Egy biztonsági rést találtunk a tárolók hálózati implementációjában (CNI-ben) a CNI 0.8.6-os és régebbi verzióiban, amely hatással lehet a régebbi AKS-fürtökre (CVE-2020-10749).

Részletek

Az érintett tárolók hálózati implementációjának használatára konfigurált AKS-fürt ki van téve a közbeékelődéses (man-in-the-middle vagy MitM) támadásoknak. Az útválasztó „illetéktelen” közzétételének elküldésével a rosszindulatú tároló átkonfigurálhatja a gazdagépet arra, hogy a gazda az IPv6-adatforgalmának egy részét vagy egészét a támadó által irányított tárolóba küldje. Még ha korábban nem is volt IPv6-adatforgalom, ha a DNS A (IPv4) és AAAA (IPv6) rekordokat ad vissza, sok HTTP-kódtár ilyenkor először IPv6-tal próbál meg csatlakozni, és csak utána használja az IPv4-et, ezzel viszont a támadónak lehetősége van a válaszadásra.

Ez a biztonsági rés a közepes kezdeti súlyosságot kapta 6,0 pontszámmal.

Sebezhetőség elemzése és ellenőrzése

Azok az AKS-fürtök, amelyeket a csomópont-rendszerkép 2019.04.24-es vagy újabb verziójával hoztak létre vagy azzal frissítettek, nem érintettek ebben a sebezhetőségben, mivel ezek a net.ipv6.conf.all.accept_ra értékét 0-ra állítják, és a TLS-nél kötelezővé teszik a megfelelő tanúsítvány-ellenőrzést.

Az ez előtt létrehozott vagy frissített fürtök ki vannak téve ennek a sebezhetőségnek.

Azt, hogy a meglévő csomópont-rendszerképe sebezhető-e, úgy ellenőrizheti, hogy futtatja a https://aka.ms/aks/MitM-check-20200601 ellenőrzést egy olyan gépen, amely CLI-hozzáféréssel el tudja érni a fürt csomópontjait.

A Windows-csomópontokat a biztonsági rés nem érinti.

Kockázatcsökkentés

Ha sebezhető csomópontokat talál, a következő parancs használatával csökkentheti a biztonsági rést a fürt frissítésével:
$ az aks upgrade -n <fürtnév> -g <fürt erőforráscsoportja> -k <a kubernetes újabb támogatott verziója>.

Ehhez a CVE-hez egy végleges javítás is elérhető ezen a címen: https://github.com/containernetworking/plugins/releases/tag/v0.8.6 . Az AKS ezt a javítást elérhetővé teszi a legújabb VHD-verzióban.

További információ

 

  • Security