Ignorar navegação
JÁ DISPONÍVEL

Vulnerabilidade de segurança da CNI em clusters mais antigos do AKS e etapas de mitigação

Data da publicação: 01 junho, 2020

Uma vulnerabilidade de segurança foi identificada na CNI (implementação de rede de contêiner) no plugin da CNI versões v0.8.6 e mais antigas que podem afetar os clusters mais antigos do AKS (CVE-2020-10749).

Detalhes

Um cluster do AKS configurado para usar uma implementação de rede de contêiner afetada é suscetível a ataques MitM (man-in-the-middle). Ao enviar anúncios de roteador "falsos", um contêiner mal-intencionado pode reconfigurar o host para redirecionar parte ou todo o tráfego IPv6 do host para o contêiner controlado pelo invasor. Mesmo que não haja nenhum tráfego IPv6 antes, se o DNS retornar registros A (IPv4) e AAAA (IPv6), muitas bibliotecas HTTP tentarão se conectar via IPv6 primeiro e, em seguida, passar para IPv4, dando uma oportunidade ao invasor para responder.

Essa vulnerabilidade recebeu uma severidade inicial de médio com uma pontuação de 6,0.

Verificação e análise de vulnerabilidade

Todos os clusters do AKS criados ou atualizados com uma Versão da Imagem do Nó posterior ou igual a "2019.04.24" não são vulneráveis, pois eles definem net.ipv6.conf.all.accept_ra como 0 e impõem o TLS com a validação de certificado apropriada.

Os clusters criados ou atualizados pela última vez antes dessa data são suscetíveis a essa vulnerabilidade.

Você pode verificar se a Imagem do Nó atual está vulnerável executando: https://aka.ms/aks/MitM-check-20200601 em um computador que tenha acesso à CLI para os nós do cluster.

Os nós do Windows não são afetados por essa vulnerabilidade.

Mitigação

Se você identificar nós vulneráveis, poderá mitigar a vulnerabilidade executando uma atualização de cluster usando o seguinte comando:
$ az aks upgrade -n <cluster name> -g <cluster resource group> -k <newer supported kubernetes version>.

Além disso, uma correção permanente para este CVE está disponível em: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. O AKS está implantando essa correção na versão mais recente do VHD.

Saiba Mais

 

  • Security