蓝盟IT小贴士,来喽!
脆弱性概要
漏洞CVE-2020-8554是影响多用户Kubernetes集群的漏洞,如果潜在攻击者可以创建或编辑服务和Pod,则可以拦截来自集群中其他Pod或节点的通信。
如果攻击者可以创建ClusterIP服务并设置. spec.externalIPs字段,则可以拦截到IP的所有流量。 另外,攻击者可以通过修复LoadBalancer服务的状态,设置status.loadBalancer.ingress.ip来实现同样的效果。 通常,这种操作是特权操作,一般不会给予普通用户操作访问。
这个漏洞是Kubernetes设计的缺陷,如果不修改用户级的操作机制,就很难修复和缓解。
按安全等级分类
陷入危笃
脆弱性分析
Kubernetes(k8s )是开源的,用于管理云平台中的多台主机上的容器化应用程序。 Kubernetes的目的是方便高效地部署集装箱化的应用程序,Kubernetes提供了应用程序的部署、规划、更新和维护机制。 K8s最初由谷歌开发,目前由云本地计算基金会维护。
研究人员在K8s中发现了影响所有K8s版本的设计漏洞,使租户可以创建和更新服务的多租户集群成为最容易受到攻击的目标。 如果攻击者可以创建或编辑服务和pod,则可能会拦截来自集群中其他pod的通信。 使用的外部IP创建服务后,将指向集群中该IP的通信路由到服务,授权使用外部IP创建服务的攻击者可以拦截指向任意目标IP的通信。
CVE-2020-8554漏洞是中危险的漏洞,具有创建和编辑服务和pod等基本租户权限的攻击者可以在没有用户交互的情况下远程使用。
由于外部IP (外部IP )服务未广泛应用于多租户集群,不建议授予租户LoadBalancer IP的补丁服务/状态权限,因此该漏洞只影响少量的Kubernetes部署
使用Falco检测CVE-2020-8554
为了防止这种网络攻击,检测漏洞利用的尝试和攻击活动很重要,现在可以使用Falco在主机和容器级别检测针对这种漏洞的活动。 Falco是CNCF的开源项目,可以用于容器和Kubernetes的运行时威胁检测。Falco的一个优点是功能强大、灵活的规则语言,当Falco发现由可定制规则集定义的异常行为时,将生成并报告安全事件。 同时,Falco还提供了初始状态检测规则。
接下来,让我们看一下如何使用Falco检测何时尝试使用外部IP创建群集类型的服务事件。
如上所述,漏洞CVE-2020-8554是由于Kubernetes设计的缺陷造成的。 允许具有创建和修复服务权限的用户将网络通信重定向到外部IP地址。 在许多情况下,当创建专用于内部通信的服务时,会将专用IP地址分配给该服务。
总结
请注意,漏洞CVE-2020-8554是由于设计缺陷而无法修复的漏洞。 因此,许多用户建议使用适当的安全工具对Kubernetes群集进行安全监视。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
