JÁ DISPONÍVEL

Vulnerabilidade de segurança do CNI nos clusters do AKS mais antigos e medidas de mitigação

Data de publicação: 01 junho, 2020

Identificámos uma vulnerabilidade de segurança na implementação de rede de contentores (CNI) na versão v0.8.6 e versões mais antigas do plug-in do CNI que podem afetar os clusters do AKS mais antigos (CVE-2020-10749).

Detalhes

Um cluster do AKS configurado para utilizar uma implementação de rede de contentores afetada é suscetível a ataques "man-in-the-middle" (MitM). Ao enviar anúncios de router "fraudulentos", um contentor malicioso pode reconfigurar o anfitrião no sentido de redirecionar parte ou todo o tráfego IPv6 do anfitrião para o contentor controlado pelo atacante. Mesmo que antes não exista tráfego IPv6, se o DNS devolver registos A (IPv4) e AAAA (IPv6), muitas bibliotecas de HTTP tentarão primeiro ligar-se através do IPv6 e só depois recorrer ao IPv4, o que dá ao atacante uma oportunidade de responder.

Esta vulnerabilidade foi classificada com uma gravidade inicial de Médio com uma classificação de 6.0.

Análise e verificação de vulnerabilidades

Todos os clusters do AKS criados ou atualizados com uma Versão de Imagem de Nó igual ou posterior a "2019.04.24" não são vulneráveis, uma vez que definem net.ipv6.conf.all.accept_ra para 0 e impõem o TLS com a validação adequada do certificado.

Os clusters criados ou atualizados pela última vez antes dessa data são suscetíveis a esta vulnerabilidade.

Para verificar se a sua Imagem de Nó atual está vulnerável, execute https://aka.ms/aks/MitM-check-20200601 num computador que tenha acesso de CLI aos nós do cluster.

Os nós do Windows não são afetados por esta vulnerabilidade.

Mitigação

Se identificar nós que sejam vulneráveis, pode mitigar a vulnerabilidade com uma atualização de cluster através do seguinte comando:
$ az aks upgrade -n <nome do cluster> -g <grupo de recursos de cluster> -k <versão mais recente do kubernetes suportada>.

Além disso, está disponível uma correção permanente para este CVE em: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. O AKS está a implementar esta correção na versão mais recente do VHD.

Saiba Mais

 

  • Security