Kubernetes (簡稱K8s)是是一個開源的，用于管理云平臺中多個主機上的容器化的應用，Kubernetes的目標是讓部署容器化的應用簡單并且高效，Kubernetes提供了應用部署、規(guī)劃、更新、維護的一種機制。K8s 最早是由谷歌開發(fā)的，目前由Cloud Native Computing Foundation 基金會維護。

漏洞概述

研究人員在K8s 中發(fā)現(xiàn)一個影響所有K8s版本的設計漏洞，允許租戶創(chuàng)建和更新服務的多租戶集群成為最易受到攻擊的目標。如果攻擊者可以創(chuàng)建或編輯服務或pod，可能就可以攔截集群中來自其他pod的流量。如果用任意的外部IP 來創(chuàng)建一個服務，集群中到該IP 的流量就會被路由到該服務，這樣有權限利用外部IP 來創(chuàng)建服務的攻擊者就可以攔截到任意目標IP的流量。

CVE-2020-8554漏洞是中危漏洞，有創(chuàng)建和編輯服務和pod等基本租戶權限的攻擊者可以在沒有任何用戶交互的情況下遠程利用該漏洞。

由于External IP (外部IP)服務并沒有廣泛應用于多租戶集群中，而且授予租戶LoadBalancer IP 的補丁服務/狀態(tài)權限并不推薦，因此該漏洞只影響少量的Kubernetes 部署。

如何攔截CVE-2020-8554漏洞利用

雖然Kubernetes 開發(fā)團隊還沒有提供安全補丁，但是Kubernetes產品安全委員會已經就如何臨時攔截該漏洞利用提供了建議。建議通過限制對有漏洞的特征的訪問來應對CVE-2020-8554漏洞。此外，還可以用admission webhook container來限制對外部IP的使用，源碼和部署指南參見 https://github.com/kubernetes-sigs/externalip-webhook

使用Open Policy Agent Gatekeeper 策略控制器來實現(xiàn)對外部IP 的限制，具體參見：https://github.com/open-policy-agent/gatekeeper-library/tree/master/library/general/externalip

本文翻譯自：https://www.bleepingcomputer.com/news/security/all-kubernetes-versions-affected-by-unpatched-mitm-vulnerability/如若轉載，請注明原文地址。