ORA DISPONIBILE

Vulnerabilità della sicurezza di CNI nei cluster del servizio Azure Kubernetes meno recenti e passaggi di mitigazione

Data di pubblicazione: 01 giugno, 2020

Nei plug-in CNI (Container Networking Implementation) versione 0.8.6 e precedenti è stata indentificata una vulnerabilità di sicurezza che potrebbe influire sui cluster del servizio Azure Kubernetes meno recenti (CVE-2020-10749).

Dettagli

Un cluster del servizio Azure Kubernetes configurato per l'uso di un plug-in CNI interessato è suscettibile ad attacchi man-in-the-middle. Inviando annunci di router non autorizzati, un contenitore dannoso può riconfigurare l'host in modo da reindirizzare interamente o in parte il traffico IPv6 dell'host al contenitore controllato dall'utente malintenzionato. Anche in assenza di traffico IPv6 precedente, se il DNS restituisce record A (IPv4) e AAAA (IPv6), molte librerie HTTP proverranno prima a connettersi a IPv6 e quindi a eseguire il fallback a IPv4, offrendo all'utente malintenzionato l'opportunità di rispondere.

A questa vulnerabilità è stata assegnata una gravità iniziale media con il punteggio 6.0.

Analisi e verifica della vulnerabilità

Tutti i cluster del servizio Azure Kubernetes creati o aggiornati con una versione dell'immagine del nodo successiva o uguale a "2019.04.24" non sono vulnerabili, in quanto impostano net.ipv6.conf.all.accept_ra su 0 e applicano TLS con una convalida del certificato appropriata.

I cluster creati o aggiornati l'ultima volta prima di tale data sono suscettibili a questa vulnerabilità.

Per verificare se l'immagine del nodo corrente è vulnerabile, esegui https://aka.ms/aks/MitM-check-20200601 in un computer che prevede l'accesso ai nodi del cluster tramite l'interfaccia della riga di comando.

I nodi di Windows non sono interessati da questa vulnerabilità.

Mitigazione

Se identifichi nodi vulnerabili, puoi mitigare i rischi eseguendo un aggiornamento del cluster con il comando seguente:
$ az aks upgrade -n <nome del cluster> -g <gruppo di risorse del cluster> -k <versione di kubernetes più recente supportata>.

Inoltre, una correzione permanente per questo CVE è disponibile all'indirizzo https://github.com/containernetworking/plugins/releases/tag/v0.8.6. Questa correzione è in fase di distribuzione nel servizio Azure Kubernetes nella versione più recente del disco rigido virtuale.

Scopri di più

 

  • Security