Azure Kubernetes Service: Escalamento de privilégios do nó comprometido para o cluster (CVE-2020-8559)

Se um atacante for capaz de intercetar determinados pedidos enviados ao Kubelet no AKS (Azure Kubernetes Service), poderá enviar uma resposta de redirecionamento que pode ser seguida por um cliente que utiliza as credenciais do pedido original. Este ataque pode fazer com que os outros nós fiquem comprometidos.

Se vários clusters partilharem a mesma autoridade de certificação em que o cliente confia e as mesmas credenciais de autenticação, esta vulnerabilidade poderá permitir que um atacante redirecione o cliente para outro cluster. Nesta configuração, esta vulnerabilidade tem de ser considerada de Alta gravidade.

Estou vulnerável?

Só será afetado por esta vulnerabilidade se processar o nó como um limite de segurança, dado que os clusters no AKS não partilham autoridades de certificação nem credenciais de autenticação.

Tenha em atenção que esta vulnerabilidade exige que um atacante comprometa primeiro um nó através de meios separados.

Versões ** de Origem ** Afetadas

• kube-apiserver v1.18.0-1.18.5
• kube-apiserver v1.17.0-1.17.8
• kube-apiserver v1.16.0-1.16.12
• todas as versões kube-apiserver anteriores à v1.16.0

Versões ** AKS ** Afetadas

O AKS corrige automaticamente os componentes do plano de controlo de todas as versões do kubernetes em Disponibilidade Geral.

• kube-apiserver <v1.18.6
• kube-apiserver <v1.17.7
• kube-apiserver <v1.16.10
• e todas a versões kube-apiserver anteriores à v1.15.11

Como devo proceder para mitigar esta vulnerabilidade?

O AKS irá corrigir automaticamente os planos de controlo das versões em Disponibilidade Geral. Se tiver uma versão do AKS em Disponibilidade Geral, não será necessária nenhuma ação.
Se não tiver uma versão do AKS em Disponibilidade Geral, faça a atualização.

Clique aqui para obter detalhes completos, incluindo a lista de versões afetadas e os passos de mitigação.