Azure Kubernetes Service:從遭入侵節點對叢集發動權限提升攻擊 (CVE-2020-8559)

發佈日期: 九月 01, 2020

若攻擊者能夠攔截 Azure Kubernetes Service (AKS) 中 Kubelet 的特定要求,就可以傳送重新導向回應,而用戶端之後可能會使用來自原始要求的認證。這可能會導致其他節點遭到入侵。

若多個叢集共用用戶端所信任的相同憑證授權單位,以及相同的驗證認證,此弱點可能會讓攻擊者將用戶端重新導向至另一個叢集。在此設定中,此弱點應視為高嚴重性。

我是否易受攻擊?

因為 AKS 中的叢集不會共用憑證授權單位和驗證認證,所以只有當您將節點視為安全性界限時,才會受到此弱點的影響。

請注意,此弱點需要攻擊者先透過不同的方式來入侵節點。

受影響的 ** 上游 ** 版本

  • kube-apiserver v1.18.0-1.18.5
  • kube-apiserver v1.17.0-1.17.8
  • kube-apiserver v1.16.0-1.16.12
  • v1.16.0 之前的所有 kube-apiserver 版本

受影響的 ** AKS ** 版本

AKS 會自動修補所有 GA Kubernetes 版本的控制平面元件。

  • kube-apiserver < v1.18.6
  • kube-apiserver < v1.17.7
  • kube-apiserver < v1.16.10
  • 以及 v1.15.11 之前的所有 kube-apiserver 版本

如何減輕此弱點?

AKS 會自動修補其 GA 版本的控制平面。若您是使用 AKS GA 版本,則無需採取任何動作。
若您不是使用 AKS GA 版本,請升級

如需完整詳細資料 (包括受影響的版本清單和風險降低步驟),請按一下這裡

  • Azure Kubernetes Service (AKS)
  • Security