无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响

2024-01-12 07:58

本文主要是介绍无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Kubernetes 产品安全委员会发布了关于如何临时阻止攻击者利用某 0day 漏洞的建议。该漏洞可导致攻击者在中间人攻击中拦截多租户 K8s 群集中其它 pod 的流量。

K8s 最初由谷歌开发,目前由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源系统,旨在对容器化工作负载、服务和应用在主机群集上的部署、规模化和管理进行自动化。自动化通过将 app 容器组织为 pod、节点(物理机或虚拟机)和群集实现,其中多个节点形成一个由主节点管理的群集,该主节点负责协调和群集相关的任务如扩展、调度或更新应用程序。

受影响服务并未大规模部署

该漏洞是由Anevia 公司研究员A Etienne Champetier 报告的中危漏洞,编号为 CVE-2020-8554。攻击者只需基本的租户权限(如创建或编辑服务和 pod),就能够远程利用该漏洞,无需任何用户交互。

该漏洞是一个设计缺陷,影响所有的 K8s 版本,其中多租户群集可导致租户创建并更新服务和 pod,使其易受攻击。

在苹果公司负责 K8s 安全工作的软件工程师 Tim Allclair 在安全公告中指出,“如果潜在的攻击者已经能够创建或编辑服务和 pod,则就能够拦截群集中其它 pod(或节点)中的流量。如果通过一个任意的外部 IP 创建服务,则该外部 IP 源自群集中的流量将被路由到该服务。这就导致具有以外部 IP 创建服务的权限的攻击者将流量拦截到任意目标 IP。“

幸运的是,鉴于外部 IP 服务并不广泛应用于多租户群集中,因此该漏洞应该仅影响少量 K8s 部署,因此不建议授予多租户用户 LoadBalancer 补丁服务/状况的权限。

如何拦截 exploit

由于 K8s 开发团队尚未发布安全更新解决该漏洞,因此建议管理员限制对易受攻击功能的访问权限,从而缓解该漏洞。用户可使用允许进入 Webhook 容器限制外部 IP 的使用,源代码和部署指南可见:https://github.com/kubernetes-sigs/externalip-webhook。此外,也可通过Open Policy Agent Gatekeeper 策略控制限制外部 IP。

目前并不存在针对LoadBalancer IP 的缓解措施,原因是所推荐的配置并不受影响,但如需限制,则关于外部IP的建议也适用于 LoadBalancer IP。

要检测尝试利用该漏洞的攻击活动,用户必须手动审计使用易受攻击特征的多租户群集中的外部 IP使用情况。Allclair 表示,“外部 IP 服务的使用范围并不广大,因此我们建议手动审计外部 IP 的使用情况。用户不应当修复服务状态,因此如果出现需认证修复服务状态的审计事件,则需引起注意。”

推荐阅读

Kubernetes CLI 工具被曝严重漏洞,谷歌K8S也受影响

FortiGate VPN 默认配置可导致中间人攻击

原文链接

https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597246

相关文章

SQL注入漏洞扫描之sqlmap详解

《SQL注入漏洞扫描之sqlmap详解》SQLMap是一款自动执行SQL注入的审计工具,支持多种SQL注入技术,包括布尔型盲注、时间型盲注、报错型注入、联合查询注入和堆叠查询注入... 目录what支持类型how---less-1为例1.检测网站是否存在sql注入漏洞的注入点2.列举可用数据库3.列举数据库

Kubernetes常用命令大全近期总结

《Kubernetes常用命令大全近期总结》Kubernetes是用于大规模部署和管理这些容器的开源软件-在希腊语中,这个词还有“舵手”或“飞行员”的意思,使用Kubernetes(有时被称为“... 目录前言Kubernetes 的工作原理为什么要使用 Kubernetes?Kubernetes常用命令总

IDEA如何切换数据库版本mysql5或mysql8

《IDEA如何切换数据库版本mysql5或mysql8》本文介绍了如何将IntelliJIDEA从MySQL5切换到MySQL8的详细步骤,包括下载MySQL8、安装、配置、停止旧服务、启动新服务以及... 目录问题描述解决方案第一步第二步第三步第四步第五步总结问题描述最近想开发一个新应用,想使用mysq

java脚本使用不同版本jdk的说明介绍

《java脚本使用不同版本jdk的说明介绍》本文介绍了在Java中执行JavaScript脚本的几种方式,包括使用ScriptEngine、Nashorn和GraalVM,ScriptEngine适用... 目录Java脚本使用不同版本jdk的说明1.使用ScriptEngine执行javascript2.

在MyBatis的XML映射文件中<trim>元素所有场景下的完整使用示例代码

《在MyBatis的XML映射文件中<trim>元素所有场景下的完整使用示例代码》在MyBatis的XML映射文件中,trim元素用于动态添加SQL语句的一部分,处理前缀、后缀及多余的逗号或连接符,示... 在MyBATis的XML映射文件中,<trim>元素用于动态地添加SQL语句的一部分,例如SET或W

C#实现获得某个枚举的所有名称

《C#实现获得某个枚举的所有名称》这篇文章主要为大家详细介绍了C#如何实现获得某个枚举的所有名称,文中的示例代码讲解详细,具有一定的借鉴价值,有需要的小伙伴可以参考一下... C#中获得某个枚举的所有名称using System;using System.Collections.Generic;usi

通过C#获取PDF中指定文本或所有文本的字体信息

《通过C#获取PDF中指定文本或所有文本的字体信息》在设计和出版行业中,字体的选择和使用对最终作品的质量有着重要影响,然而,有时我们可能会遇到包含未知字体的PDF文件,这使得我们无法准确地复制或修改文... 目录引言C# 获取PDF中指定文本的字体信息C# 获取PDF文档中用到的所有字体信息引言在设计和出

Debian如何查看系统版本? 7种轻松查看Debian版本信息的实用方法

《Debian如何查看系统版本?7种轻松查看Debian版本信息的实用方法》Debian是一个广泛使用的Linux发行版,用户有时需要查看其版本信息以进行系统管理、故障排除或兼容性检查,在Debia... 作为最受欢迎的 linux 发行版之一,Debian 的版本信息在日常使用和系统维护中起着至关重要的作

你的华为手机升级了吗? 鸿蒙NEXT多连推5.0.123版本变化颇多

《你的华为手机升级了吗?鸿蒙NEXT多连推5.0.123版本变化颇多》现在的手机系统更新可不仅仅是修修补补那么简单了,华为手机的鸿蒙系统最近可是动作频频,给用户们带来了不少惊喜... 为了让用户的使用体验变得很好,华为手机不仅发布了一系列给力的新机,还在操作系统方面进行了疯狂的发力。尤其是近期,不仅鸿蒙O

什么是 Ubuntu LTS?Ubuntu LTS和普通版本区别对比

《什么是UbuntuLTS?UbuntuLTS和普通版本区别对比》UbuntuLTS是Ubuntu操作系统的一个特殊版本,旨在提供更长时间的支持和稳定性,与常规的Ubuntu版本相比,LTS版... 如果你正打算安装 Ubuntu 系统,可能会被「LTS 版本」和「普通版本」给搞得一头雾水吧?尤其是对于刚入