Kubernetes (簡稱K8s)是是一個(gè)開源的，用于管理云平臺中多個(gè)主機(jī)上的容器化的應(yīng)用，Kubernetes的目標(biāo)是讓部署容器化的應(yīng)用簡單并且高效，Kubernetes提供了應(yīng)用部署、規(guī)劃、更新、維護(hù)的一種機(jī)制。K8s 最早是由谷歌開發(fā)的，目前由Cloud Native Computing Foundation 基金會維護(hù)。

漏洞概述

研究人員在K8s 中發(fā)現(xiàn)一個(gè)影響所有K8s版本的設(shè)計(jì)漏洞，允許租戶創(chuàng)建和更新服務(wù)的多租戶集群成為最易受到攻擊的目標(biāo)。如果攻擊者可以創(chuàng)建或編輯服務(wù)或pod，可能就可以攔截集群中來自其他pod的流量。如果用任意的外部IP 來創(chuàng)建一個(gè)服務(wù)，集群中到該IP 的流量就會被路由到該服務(wù)，這樣有權(quán)限利用外部IP 來創(chuàng)建服務(wù)的攻擊者就可以攔截到任意目標(biāo)IP的流量。

CVE-2020-8554漏洞是中危漏洞，有創(chuàng)建和編輯服務(wù)和pod等基本租戶權(quán)限的攻擊者可以在沒有任何用戶交互的情況下遠(yuǎn)程利用該漏洞。

由于External IP (外部IP)服務(wù)并沒有廣泛應(yīng)用于多租戶集群中，而且授予租戶LoadBalancer IP 的補(bǔ)丁服務(wù)/狀態(tài)權(quán)限并不推薦，因此該漏洞只影響少量的Kubernetes 部署。

如何攔截CVE-2020-8554漏洞利用

雖然Kubernetes 開發(fā)團(tuán)隊(duì)還沒有提供安全補(bǔ)丁，但是Kubernetes產(chǎn)品安全委員會已經(jīng)就如何臨時(shí)攔截該漏洞利用提供了建議。建議通過限制對有漏洞的特征的訪問來應(yīng)對CVE-2020-8554漏洞。此外，還可以用admission webhook container來限制對外部IP的使用，源碼和部署指南參見 https://github.com/kubernetes-sigs/externalip-webhook

使用Open Policy Agent Gatekeeper 策略控制器來實(shí)現(xiàn)對外部IP 的限制，具體參見：https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip

本文翻譯自：https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/如若轉(zhuǎn)載，請注明原文地址。