Serviço de Kubernetes do Azure: elevação de privilégio do nó comprometido para o cluster (CVE-2020-8559)

Data da publicação: 01 setembro, 2020

Se um invasor puder interceptar determinadas solicitações ao Kubelet no AKS (Serviço de Kubernetes do Azure), ele poderá enviar uma resposta de redirecionamento que poderá ser seguida por um cliente que usa as credenciais da solicitação original. Isso poderá ocasionar o comprometimento de outros nós.

Se vários clusters compartilharem a mesma autoridade de certificação de confiança do cliente e as mesmas credenciais de autenticação, essa vulnerabilidade poderá permitir que um invasor redirecione o cliente para outro cluster. Nessa configuração, essa vulnerabilidade deverá ser considerada de Severidade alta.

Estou vulnerável?

Você só será afetado por essa vulnerabilidade se tratar o nó como um limite de segurança, visto que os clusters no AKS não compartilham autoridades de certificação nem credenciais de autenticação.

Observe que essa vulnerabilidade exige que um invasor primeiro comprometa um nó usando outros meios.

Versões ** de upstream ** afetadas

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • todas as versões de kube-apiserver anteriores à v1.16.0

Versões ** do AKS ** afetadas

O AKS aplica patch em todos os componentes do plano de controle de versão de kubernetes em GA.

  • kube-apiserver <v1.18.6
  • kube-apiserver <v1.17.7
  • kube-apiserver <v1.16.10
  • e todas as versões de kube-apiserver anteriores à v1.15.11

Como faço para mitigar essa vulnerabilidade?

O AKS aplicará patch nos painéis de controle das versões GA automaticamente. Se você está em uma versão GA do AKS, não há necessidade de nenhuma ação.
Se você não está em uma versão GA do AKS, atualize.

Clique aqui para obter detalhes completos, incluindo a lista de versões afetadas e as etapas de mitigação.

  • AKS (Serviço de Kubernetes do Azure)
  • Security