Azure Kubernetes Service: 손상된 노드에서 클러스터로 권한 상승(CVE-2020-8559)

공격자가 AKS(Azure Kubernetes Service) 내 Kubelet에 대한 특정 요청을 가로챌 수 있는 경우 원래 요청의 자격 증명을 사용하여 뒤에 클라이언트가 있을 수 있는 리디렉션 응답을 보낼 수 있습니다. 그러면 다른 노드가 손상될 수 있습니다.

여러 클러스터가 클라이언트에서 신뢰하는 같은 인증 기관 및 같은 인증 자격 증명을 공유하는 경우 이 취약성으로 인해 공격자가 클라이언트를 다른 클러스터로 리디렉션할 수 있습니다. 이 구성에서는 이 취약성을 높은 심각도로 간주해야 합니다.

취약한지 여부

AKS의 클러스터가 인증 기관 및 인증 자격 증명을 공유하지 않으므로 노드를 보안 경계로 처리하는 경우에만 이 취약성의 영향을 받습니다.

이 취약성을 이용하려면 공격자가 먼저 별도의 수단을 통해 노드를 손상해야 합니다.

영향을 받는 ** 업스트림 ** 버전

• kube-apiserver v1.18.0~1.18.5
• kube-apiserver v1.17.0~1.17.8
• kube-apiserver v1.16.0~1.16.12
• v1.16.0 이전의 모든 kube-apiserver 버전

영향을 받는 ** AKS ** 버전

AKS는 모든 GA Kubernetes 버전 컨트롤 플레인 구성 요소를 자동으로 패치합니다.

• kube-apiserver < v1.18.6
• kube-apiserver < v1.17.7
• kube-apiserver < v1.16.10
• v1.15.11 이전의 모든 kube-apiserver 버전

이 취약성을 완화하는 방법

AKS는 GA 버전의 컨트롤 플레인을 자동으로 패치합니다. AKS GA 버전을 사용하는 경우 별도의 조치가 필요하지 않습니다.
AKS GA 버전을 사용하지 않는 경우 업그레이드하세요.

영향을 받는 버전 목록과 완화 단계를 비롯한 전체 세부 정보를 보려면 여기를 클릭하세요.