Kubernetes(简称K8s)是一个开源的,用于管理云平台中多个主机上的容器化应用程序。Kubernetes的目标是让部署容器化的应用程序变得简单高效,Kubernetes提供了应用程序部署、规划、更新和维护的机制。K8s最早由Google开发,目前由CloudNativeComputingFoundation维护。漏洞概述研究人员在K8s中发现了一个影响所有K8s版本的设计漏洞,使得允许租户创建和更新服务的多租户集群成为最容易受到攻击的目标。如果攻击者可以创建或编辑服务或pod,则有可能拦截来自集群中其他pod的流量。如果使用任何外部IP创建服务,则集群中到该IP的流量将被路由到该服务,这样有权使用外部IP创建服务的攻击者就可以拦截到任何目标IP的流量。CVE-2020-8554漏洞是一个中等严重程度的漏洞,攻击者可以在没有任何用户交互的情况下,通过创建和编辑服务和pod等基本租户权限远程利用该漏洞。由于ExternalIP(外部IP)服务在多租户集群中的应用并不广泛,不建议为租户LoadBalancerIPs授予patchservice/state权限,因此该漏洞仅影响少量Kubernetes部署。如何阻止CVE-2020-8554漏洞利用虽然Kubernetes开发团队尚未提供安全补丁,但Kubernetes产品安全委员会已就如何暂时阻止该漏洞利用提供了建议。建议通过限制对易受攻击的签名的访问来应对CVE-2020-8554漏洞。另外,你也可以使用admissionwebhook容器来限制外部IP的使用。源码和部署指南请参考https://github.com/kubernetes-sigs/externalip-webhook使用OpenPolicyAgentGatekeeperpolicycontroller实现外部IP限制请参考:https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip本文翻译自:https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/如有转载,请注明原文地址。
