Служба Azure Kubernetes: повышение привилегий доступа к скомпрометированному узлу до привилегий доступа к кластеру (CVE-2020-8559)
Дата публикации: 01 сентября, 2020
Если злоумышленник может перехватить определенные запросы к Kubelet в Службе Azure Kubernetes(AKS), у него будет возможность отправить ответ перенаправления, которому может следовать клиент, используя учетные данные из исходного запроса. Это может привести к компрометации других узлов.
Если несколько кластеров используют один и тот же центр сертификации, которому доверяет клиент, и одни и те же учетные данные для проверки подлинности, злоумышленник сможет перенаправить клиент в другой кластер. В такой конфигурации уязвимости присваивается уровень серьезности "Высокий".
Уязвима ли моя система?
Эта уязвимость затрагивает вашу систему, только если узел рассматривается как периметр безопасности, так как кластеры в AKS не используют общие центры сертификации и учетные данные для проверки подлинности.
Обратите внимание, что при этой уязвимости злоумышленник сначала должен получить доступ к узлу с помощью отдельных средств.
Затронутые ** вышестоящие ** версии
- kube-apiserver v1.18.0-1.18.5;
- kube-apiserver v1.17.0-1.17.8;
- kube-apiserver v1.16.0-1.16.12;
- все версии kube-apiserver до версии 1.16.0.
Затронутые ** версии ** AKS
AKS автоматически исправляет все общедоступные компоненты уровня управления версий Kubernetes.
- kube-apiserver <v1.18.6;
- kube-apiserver <v1.17.7;
- kube-apiserver <v1.16.10;
- все версии kube-apiserver до версии 1.15.11.
Как устранить эту уязвимость?
AKS будет автоматически исправлять уровни управления общедоступных версий. Если вы используете общедоступную версию AKS, никакие действия не требуются.
Если вы используете другую версию AKS, обновите систему.
Щелкните здесь, чтобы получить подробные сведения, включая список затронутых версий и инструкции по устранению проблем.