TERAZ DOSTĘPNE

Luki w zabezpieczeniach wtyczki CNI w starszych klastrach usługi AKS i kroki zaradcze

Data opublikowania: 01 czerwca, 2020

Luka w zabezpieczeniach została zidentyfikowana w implementacji sieci kontenerów (CNI) we wtyczce CNI w wersji 0.8.6 lub starszej, która może mieć wpływ na starsze klastry usługi AKS (CVE-2020-10749).

Szczegóły

Klaster usługi AKS skonfigurowany do korzystania z implementacji sieci kontenerów, której dotyczy problem, jest podatny na ataki typu man-in-the-middle. Przez wysyłanie „nieautoryzowanych” anonsów routera złośliwy kontener może zmienić konfigurację hosta, aby przekierować częściowy lub cały ruch IPv6 hosta do kontenera kontrolowanego przez osobę atakującą. Nawet w przypadku braku ruchu IPv6, jeśli usługa DNS zwróci rekordy A (IPv4) i AAAA (IPv6), wiele bibliotek HTTP podejmie najpierw próbę nawiązania połączenia za pośrednictwem protokołu IPv6, a następnie nastąpi powrót do protokołu IPv4, co umożliwi osobie atakującej odpowiedź.

Ta luka w zabezpieczeniach uzyskała początkową istotność na średnim poziomie z wynikiem 6,0.

Analiza i weryfikacja luk w zabezpieczeniach

Wszystkie klastry usługi AKS utworzone lub uaktualnione przy użyciu wersji obrazu węzła nowszej lub równej „2019.04.24” nie są zagrożone, ponieważ mają ustawiony element net.IPv6.conf.all.accept_ra na wartość 0 i wymuszają protokół TLS z właściwą weryfikacją certyfikatu.

Klastry utworzone lub ostatnio uaktualnione przed tym dniem są podatne na te luki w zabezpieczeniach.

Można sprawdzić, czy bieżący obraz węzła jest narażony, przez uruchomienie elementu: https://aka.ms/aks/MitM-check-20200601 na maszynie, która ma dostęp do węzłów klastra w interfejsie wiersza polecenia.

Te luki w zabezpieczeniach nie mają wpływu na węzły systemu Windows.

Środki zaradcze

W przypadku identyfikacji węzłów, które są zagrożone, można wyeliminować lukę w zabezpieczeniach, przeprowadzając uaktualnienie klastra przy użyciu następującego polecenia:
$ az aks upgrade -n <nazwa klastra> -g <grupa zasobów klastra> -k <nowsza obsługiwana wersja usługi Kubernetes>.

Ponadto stała poprawka dla tego elementu CVE jest dostępna pod adresem: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. Usługa AKS wprowadza tę poprawkę dla najnowszej wersji wirtualnego dysku twardego.

Dowiedz się więcej

 

  • Security