Уязвимость CNI в старых кластерах AKS и действия по устранению рисков
Дата публикации: 01 июня, 2020
Обнаружена уязвимость в реализации сети контейнеров (CNI) в подключаемых модулях CNI 0.8.6 и более ранних версий, которая может повлиять на старые кластеры AKS (CVE-2020-10749).
Дополнительные сведения
Кластер AKS, настроенный для использования уязвимой реализации сети контейнеров, подвержен атакам посредника (MitM). Отправляя фальшивые объявления маршрутизатора, вредоносный контейнер может перенастроить узел для перенаправления части или всего трафика IPv6 узла в контейнер, контролируемый злоумышленником. Даже если трафика IPv6 нет, но DNS возвращает записи A (IPv4) и AAAA (IPv6), многие библиотеки HTTP сначала пытаются подключиться по протоколу IPv6, а затем переходят на использование IPv4. Это дает возможность злоумышленнику отправить ответ.
Изначально этой уязвимости присвоена серьезность среднего уровня с оценкой 6.0.
Анализ и проверка уязвимости
Все кластеры AKS, созданные или обновленные с использованием образа узла 2019.04.24 или более поздней версии не имеют такой уязвимости, так как в их настройках для параметра net.ipv6.conf.all.accept_ra задано значение 0 и кластеры применяют TLS с проверкой наличия нужного сертификата.
Кластеры, созданные или обновленные до этой даты, подвержены такой уязвимости.
Чтобы проверить, не является ли текущий образ узла уязвимым, перейдите по ссылке https://aka.ms/aks/MitM-check-20200601 на компьютере с интерфейсом командной строки, который имеет доступ к узлам кластера.
Узлы Windows не подвержены этой уязвимости.
Устранение рисков
Если вы обнаружите уязвимые узлы, устраните уязвимость. Для этого обновите кластер с помощью следующей команды:
$ az aks upgrade -n <имя_кластера> -g <группа_ресурсов_кластера> -k <новая_поддерживаемая_версия_Kubernetes>.
Кроме того, для этой уязвимости CVE доступно окончательное исправление по адресу: https://github.com/containernetworking/plugins/releases/tag/v0.8.6. Это исправление для AKS развертывается на VHD последней версии.
Подробнее