Kubernetes 本地主機邊界繞過漏洞（CVE-2020-8558）

一、概要

近日華為云監測到Kubernetes官方發布安全公告，其核心組件kube-proxy存在主機邊界繞過漏洞（CVE-2020-8558）。利用漏洞攻擊者可能通過同一局域網下的容器，或在集群節點上訪問同一個二層域下的相鄰節點上綁定監聽了本地127.0.0.1端口的TCP/UDP服務，從而獲取接口信息。如果綁定在端口上的服務沒有設置身份驗證，則會導致該服務容易受到攻擊。

華為云提醒使用kube-proxy的用戶及時安排自檢并做好安全加固。

詳情請參考鏈接：

https://github.com/kubernetes/kubernetes/issues/92315

二、威脅級別

如果集群API Server開啟了非認證端口（默認8080），威脅級別：【嚴重】

如果集群API Server默認關閉了非認證端口，威脅級別：【重要】

（說明：威脅級別共四級：一般、重要、嚴重、緊急）

三、漏洞影響范圍

受影響版本：

kubelet / kube-proxy v1.18.0-1.18.3

kubelet / kube-proxy v1.17.0-1.17.6

kubelet / kube-proxy <= 1.16.10

安全版本：

kubelet / kube-proxy master

kubelet / kube-proxy v1.18.4+

kubelet / kube-proxy v1.17.7+

kubelet / kube-proxy v1.16.11+

四、漏洞處置

目前官方已提供安全版本修復了該漏洞，請受影響的用戶升級至安全版本，升級請參考官方文檔：

https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster

規避措施：

1、如果業務容器需使用主機網絡模式且又監聽在非安全端口上，可以通過在節點上手動添加iptables規則來緩解此漏洞。此規則將拒絕來自節點到127.0.0.1的流量。

iptables -I INPUT --dst 127.0.0.0/8 ! --src 127.0.0.0/8 -m conntrack ! --ctstate RELATED,ESTABLISHED,DNAT -j DROP

如果集群不需要開啟API Server不安全端口，可以將--insecure-port=0添加到kubernetes API服務器命令行來禁用端口。

2、如果集群內運行有不受信的容器，需要manifest文件中關閉CAP_NET_RAW能力。

securityContext:

capabilities:

drop: ["NET_RAW"]

注：修復漏洞前請將資料備份，并進行充分測試。

安全 Kubernetes

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。