12月4日,Kubernetes 产物平安委员会公开了一个新的Kubernetes破绽——CVE-2020-8554。该破绽是中危破绽,影响所有的Kubernetes 版本,而且现在仍然没有修复。

破绽剖析

CVE-2020-8554破绽是Kubernetes服务中External IPs和 Load Balancer IPs 2个特征中的设计破绽。Kubernetes服务是一种将运行在pod集上的应用以 *** 服务的形式露出。一个服务会露出给一个或多个IP。一旦部署,集群中的节点就会将到服务IP的流量路由到提供该服务的后端pod。

当集群治理和分配服务IP时,一切正常。然则若是Kubernetes 用户能够为其服务分配随便IP时就会出现问题。在这种情况下,恶意用户可以分配一个其他终端已经使用的IP 地址,阻挡所有到该IP的集群流量。控制服务IP的方式一共有2种:

分配一个外部IP地址。

通过修复status.loadBalancer.ingress.ip 域名分配一个Load Balancer IP。该方式要求有补丁服务/状态权限。

下面是部署到集群后,阻挡所有到IP地址8.8.8.8的DNS流量并路由到恶意DNS服务器pod的服务。

图1. 滥用外部IP来阻挡到8.8.8.8的DNS流量的服务

为了吸收阻挡的流量,攻击者必须控制支持恶意服务的终端。在大多数情况下是一个pod,与上面例子中的恶意DNS服务器pod一样。此外,外部终端也可以支持这样的服务,也就是说攻击者可以将阻挡的流量路由到集群意外的外部终端。但这要求攻击者建立一个指向外部地址的Kubernetes终端,也就是说需要建立endpoint 权限。

,

AllbetGmaing手机版下载ALLbet6.com

欢迎进入AllbetGmaing手机版下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe *** 、Allbet电脑客户端、Allbet手机版下载等业务。

,

受影响的产物

该破绽影响所有的Kubernetes 版本,而且现在仍然没有修复。知足以下条件的集群会受到该破绽的影响:

· 允许非admin Kubernetes用户建立或更新服务,或对服务状态打补丁;

· 允许非特权用户控制pod,包罗建立、更新和执行;

· 允许非特权用户建立或更新终端。

此外,多租户集群是最危险的,由于其最有可能实现以上有破绽的设置。多租户集群一样平常使用Kubernetes 命名空间来支解租户,限制每个租户对其命名空间的权限。但只要有一个租户可以治理自己命名空间中的服务和pod,就可以行使CVE-2020-8554 破绽来窃取整个集群的流量。因此,攻击者可以入侵其中一个租户来行使该破绽来阻挡其他租户的流量。

缓解措施

Kubernetes产物平安委员会以为,在纰谬Kubernetes 用户功效特征做出修改的情况下是不可能修复该破绽的。因此,建议限制对这些有破绽的特征的访问来预防破绽行使。委员会为External IP的使用提供了2个解决方案:定制的Admission Controller 和OPA Gatekeeper 限制。然则对Load Balancer IP 现在还没有解决方案。

总结

CVE-2020-8554是Kubernetes 服务中的一个设计破绽。若是集群是多租户的,那么非特权用户也可以建立和更新服务。虽然破绽现在还没有修复,Kubernetes产物平安委员会也给出了有用的缓解措施。

本文翻译自:https://unit42.paloaltonetworks.com/cve-2020-8554/: 声明:该文看法仅代表作者自己,与Sunbet 申博无关。转载请注明:usdt钱包支付(caibao.it):CVE-2020-8554:Kubernetes中间人攻击破绽
发布评论

分享到:

浙江宁波:‘高速公路爆’胎!解婕翎继续开…下车一看吓哭:差点死在路‘上’
1 条回复
  1. 币游
    币游
    (2021-01-30 00:09:19) 1#

    www.allbetgame.uswww.allbet6.com欢迎进入欧博平台网站(www.allbetgaming.net),www.allbetgaming.net开放欧博平台网址、欧博注册、欧博APP下载、欧博客户端下载、欧博游戏等业务。粉丝大军助威

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。