지금 이용 가능

이전 AKS 클러스터의 CNI 보안 취약성 및 완화 단계

게시된 날짜: 6월 01, 2020

이전 AKS 클러스터(CVE-2020-10749)에 영향을 줄 수 있는 보안 취약성이 CNI 플러그 인 버전 v0.8.6 및 이전 버전의 CNI(컨테이너 네트워킹 구현)에서 확인되었습니다.

세부 정보

영향을 받는 컨테이너 네트워킹 구현을 사용하도록 구성된 AKS 클러스터는 중간자(MitM: man-in-the-middle) 공격에 취약합니다. 악성 컨테이너는 “Rogue” 라우터 알림을 보내 호스트의 IPv6 트래픽 일부 또는 전부를 공격자가 제어하는 컨테이너로 리디렉션하도록 호스트를 다시 구성할 수 있습니다. 이전에 IPv6 트래픽이 없었더라도 DNS가 A(IPv4) 및 AAAA(IPv6) 레코드를 반환하는 경우 많은 HTTP 라이브러리가 먼저 IPv6을 통해 연결을 시도한 후 IPv4로 대체하여 공격자에게 응답할 기회를 제공합니다.

이 취약성에는 초기 심각도 보통과 점수 6.0이 부여되었습니다.

취약성 분석 및 확인

“2019.04.24” 이상의 노드 이미지 버전으로 만들어지거나 업그레이드된 모든 AKS 클러스터는 net.ipv6.conf.all.accept_ra가 0으로 설정되어 적절한 인증서 유효성 검사를 통해 TLS가 적용되므로 취약하지 않습니다.

해당 날짜 이전에 만들어지거나 마지막으로 업그레이드된 클러스터는 이 취약성에 취약합니다.

CLI를 사용하여 클러스터의 노드에 액세스할 수 있는 머신에서 https://aka.ms/aks/MitM-check-20200601을 실행하여 현재 노드 이미지가 취약한지 확인할 수 있습니다.

Windows 노드는 이 취약성의 영향을 받지 않습니다.

완화

취약한 노드를 확인한 경우 다음 명령을 사용하여 클러스터 업그레이드를 수행함으로써 취약성을 완화할 수 있습니다.
$ az aks upgrade -n <클러스터 이름> -g <클러스터 리소스 그룹> -k <지원되는 최신 Kubernetes 버전>.

또한 이 CVE의 영구 픽스가 https://github.com/containernetworking/plugins/releases/tag/v0.8.6에서 제공됩니다. AKS에서는 최신 VHD 버전에서 이 픽스를 배포하고 있습니다.

자세한 정보

 

  • Security