較舊版 AKS 叢集中的 CNI 安全性弱點及風險降低步驟
發佈日期: 六月 01, 2020
在 CNI 外掛程式 v0.8.6 版和較舊版本的容器網路實作 (CNI) 中,發現具有可能影響較舊版 AKS 叢集 (CVE-2020-10749) 的安全性弱點。
詳細資料
設定為使用受影響容器網路實作的 AKS 叢集,容易受到中間人 (MitM) 攻擊。藉由傳送「惡意」路由器公告,惡意的容器可以重新設定主機,將主機的部分或所有 IPv6 流量重新導向至攻擊者控制的容器。即使之前沒有 IPv6 流量,但如果 DNS 傳回 (IPv4) 和 AAAA (IPv6) 記錄,許多 HTTP 程式庫仍會先嘗試透過 IPv6 進行連線,再改回使用 IPv4,讓攻擊者有機會進行回應。
此弱點的初始嚴重性為中度,分數為 6.0。
弱點分析和驗證
使用 "2019.04.24" 版或更新版節點映像建立或升級的所有 AKS 叢集,都不易受到攻擊,原因是這些叢集會將 net.ipv6.conf.all.accept_ra 設定為 0,並強制執行具備適當憑證驗證的 TLS。
在該日期之前,建立或最後一次升級的叢集容易受此弱點所影響。
您可以在具有叢集節點 CLI 存取權的機器上執行 https://aka.ms/aks/MitM-check-20200601,確認目前的節點映像是否容易受到攻擊。
Windows 節點不會受此弱點所影響。
風險降低
如果您發現到易受攻擊的節點,可以使用下列命令執行叢集升級,來降低此弱點的風險:
$ az aks upgrade -n <叢集名稱> -g <叢集資源群組> -k <較新的支援 kubernetes 版本>。
此外,您可以在下列位置取得此 CVE 的永久修正:https://github.com/containernetworking/plugins/releases/tag/v0.8.6。AKS 會在最新的 VHD 版本中推出此修正。
深入了解