略過導覽
現已提供

較舊版 AKS 叢集中的 CNI 安全性弱點及風險降低步驟

發佈日期: 六月 01, 2020

在 CNI 外掛程式 v0.8.6 版和較舊版本的容器網路實作 (CNI) 中,發現具有可能影響較舊版 AKS 叢集 (CVE-2020-10749) 的安全性弱點。

詳細資料

設定為使用受影響容器網路實作的 AKS 叢集,容易受到中間人 (MitM) 攻擊。藉由傳送「惡意」路由器公告,惡意的容器可以重新設定主機,將主機的部分或所有 IPv6 流量重新導向至攻擊者控制的容器。即使之前沒有 IPv6 流量,但如果 DNS 傳回 (IPv4) 和 AAAA (IPv6) 記錄,許多 HTTP 程式庫仍會先嘗試透過 IPv6 進行連線,再改回使用 IPv4,讓攻擊者有機會進行回應。

此弱點的初始嚴重性為中度,分數為 6.0

弱點分析和驗證

使用 "2019.04.24" 版或更新版節點映像建立或升級的所有 AKS 叢集,都易受到攻擊,原因是這些叢集會將 net.ipv6.conf.all.accept_ra 設定為 0,並強制執行具備適當憑證驗證的 TLS。

在該日期之前,建立或最後一次升級的叢集容易受此弱點所影響

您可以在具有叢集節點 CLI 存取權的機器上執行 https://aka.ms/aks/MitM-check-20200601,確認目前的節點映像是否容易受到攻擊。

Windows 節點不會受此弱點所影響。

風險降低

如果您發現到易受攻擊的節點,可以使用下列命令執行叢集升級,來降低此弱點的風險:
$ az aks upgrade -n <叢集名稱> -g <叢集資源群組> -k <較新的支援 kubernetes 版本>。

此外,您可以在下列位置取得此 CVE 的永久修正:https://github.com/containernetworking/plugins/releases/tag/v0.8.6。AKS 會在最新的 VHD 版本中推出此修正。

深入了解

 

  • Security