无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响

2024-01-12 07:58

本文主要是介绍无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

 聚焦源代码安全,网罗国内外最新资讯!

编译:奇安信代码卫士团队

Kubernetes 产品安全委员会发布了关于如何临时阻止攻击者利用某 0day 漏洞的建议。该漏洞可导致攻击者在中间人攻击中拦截多租户 K8s 群集中其它 pod 的流量。

K8s 最初由谷歌开发,目前由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源系统,旨在对容器化工作负载、服务和应用在主机群集上的部署、规模化和管理进行自动化。自动化通过将 app 容器组织为 pod、节点(物理机或虚拟机)和群集实现,其中多个节点形成一个由主节点管理的群集,该主节点负责协调和群集相关的任务如扩展、调度或更新应用程序。

受影响服务并未大规模部署

该漏洞是由Anevia 公司研究员A Etienne Champetier 报告的中危漏洞,编号为 CVE-2020-8554。攻击者只需基本的租户权限(如创建或编辑服务和 pod),就能够远程利用该漏洞,无需任何用户交互。

该漏洞是一个设计缺陷,影响所有的 K8s 版本,其中多租户群集可导致租户创建并更新服务和 pod,使其易受攻击。

在苹果公司负责 K8s 安全工作的软件工程师 Tim Allclair 在安全公告中指出,“如果潜在的攻击者已经能够创建或编辑服务和 pod,则就能够拦截群集中其它 pod(或节点)中的流量。如果通过一个任意的外部 IP 创建服务,则该外部 IP 源自群集中的流量将被路由到该服务。这就导致具有以外部 IP 创建服务的权限的攻击者将流量拦截到任意目标 IP。“

幸运的是,鉴于外部 IP 服务并不广泛应用于多租户群集中,因此该漏洞应该仅影响少量 K8s 部署,因此不建议授予多租户用户 LoadBalancer 补丁服务/状况的权限。

如何拦截 exploit

由于 K8s 开发团队尚未发布安全更新解决该漏洞,因此建议管理员限制对易受攻击功能的访问权限,从而缓解该漏洞。用户可使用允许进入 Webhook 容器限制外部 IP 的使用,源代码和部署指南可见:https://github.com/kubernetes-sigs/externalip-webhook。此外,也可通过Open Policy Agent Gatekeeper 策略控制限制外部 IP。

目前并不存在针对LoadBalancer IP 的缓解措施,原因是所推荐的配置并不受影响,但如需限制,则关于外部IP的建议也适用于 LoadBalancer IP。

要检测尝试利用该漏洞的攻击活动,用户必须手动审计使用易受攻击特征的多租户群集中的外部 IP使用情况。Allclair 表示,“外部 IP 服务的使用范围并不广大,因此我们建议手动审计外部 IP 的使用情况。用户不应当修复服务状态,因此如果出现需认证修复服务状态的审计事件,则需引起注意。”

推荐阅读

Kubernetes CLI 工具被曝严重漏洞,谷歌K8S也受影响

FortiGate VPN 默认配置可导致中间人攻击

原文链接

https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/

题图:Pixabay License

本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

这篇关于无补丁:所有 Kubernetes 版本均受中间人 0day 漏洞影响的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597246

相关文章

Android实现任意版本设置默认的锁屏壁纸和桌面壁纸(两张壁纸可不一致)

客户有些需求需要设置默认壁纸和锁屏壁纸  在默认情况下 这两个壁纸是相同的  如果需要默认的锁屏壁纸和桌面壁纸不一样 需要额外修改 Android13实现 替换默认桌面壁纸: 将图片文件替换frameworks/base/core/res/res/drawable-nodpi/default_wallpaper.*  (注意不能是bmp格式) 替换默认锁屏壁纸: 将图片资源放入vendo

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者

K8S(Kubernetes)开源的容器编排平台安装步骤详解

K8S(Kubernetes)是一个开源的容器编排平台,用于自动化部署、扩展和管理容器化应用程序。以下是K8S容器编排平台的安装步骤、使用方式及特点的概述: 安装步骤: 安装Docker:K8S需要基于Docker来运行容器化应用程序。首先要在所有节点上安装Docker引擎。 安装Kubernetes Master:在集群中选择一台主机作为Master节点,安装K8S的控制平面组件,如AP

什么是Kubernetes PodSecurityPolicy?

@TOC 💖The Begin💖点点关注,收藏不迷路💖 1、什么是PodSecurityPolicy? PodSecurityPolicy(PSP)是Kubernetes中的一个安全特性,用于在Pod创建前进行安全策略检查,限制Pod的资源使用、运行权限等,提升集群安全性。 2、为什么需要它? 默认情况下,Kubernetes允许用户自由创建Pod,可能带来安全风险。

容器编排平台Kubernetes简介

目录 什么是K8s 为什么需要K8s 什么是容器(Contianer) K8s能做什么? K8s的架构原理  控制平面(Control plane)         kube-apiserver         etcd         kube-scheduler         kube-controller-manager         cloud-controlle

【Kubernetes】K8s 的安全框架和用户认证

K8s 的安全框架和用户认证 1.Kubernetes 的安全框架1.1 认证:Authentication1.2 鉴权:Authorization1.3 准入控制:Admission Control 2.Kubernetes 的用户认证2.1 Kubernetes 的用户认证方式2.2 配置 Kubernetes 集群使用密码认证 Kubernetes 作为一个分布式的虚拟

kubernetes集群部署Zabbix监控平台

一、zabbix介绍 1.zabbix简介 Zabbix是一个基于Web界面的分布式系统监控的企业级开源软件。可以监视各种系统与设备的参数,保障服务器及设备的安全运营。 2.zabbix特点 (1)安装与配置简单。 (2)可视化web管理界面。 (3)免费开源。 (4)支持中文。 (5)自动发现。 (6)分布式监控。 (7)实时绘图。 3.zabbix的主要功能

PostgreSQL中的多版本并发控制(MVCC)深入解析

引言 PostgreSQL作为一款强大的开源关系数据库管理系统,以其高性能、高可靠性和丰富的功能特性而广受欢迎。在并发控制方面,PostgreSQL采用了多版本并发控制(MVCC)机制,该机制为数据库提供了高效的数据访问和更新能力,同时保证了数据的一致性和隔离性。本文将深入解析PostgreSQL中的MVCC功能,探讨其工作原理、使用场景,并通过具体SQL示例来展示其在实际应用中的表现。 一、

InnoDB的多版本一致性读的实现

InnoDB是支持MVCC多版本一致性读的,因此和其他实现了MVCC的系统如Oracle,PostgreSQL一样,读不会阻塞写,写也不会阻塞读。虽然同样是MVCC,各家的实现是不太一样的。Oracle通过在block头部的事务列表,和记录中的锁标志位,加上回滚段,个人认为实现上是最优雅的方式。 而PostgreSQL则更是将多个版本的数据都放在表中,而没有单独的回滚段,导致的一个结果是回滚非