Todas as versões do Kubernetes que estão em risco de ataque
Foi descoberta uma vulnerabilidade man-in-the-middle (MiTM) sem correção que afeta todas as versões do Kubernetes e os invasores podem explorá-los remotamente.
A vulnerabilidade de gravidade média, descoberta por Etienne Champetier da Anevia no ano passado e monitorada como CVE-2020-8554, permite a um invasor com a capacidade de criar ou editar serviços e pods para interceptar o tráfego de outros pods (ou nós) sem interação do usuário.
O engenheiro de software da Apple, Tim Allclair, explicou que o problema é uma falha de design que afeta todas as versões do Kubernetes em um relatório publicado recentemente. aviso de segurança, dizendo:
“Se um invasor potencial já pode criar ou editar serviços e pods, ele pode interceptar o tráfego de outros pods (ou nós) no cluster. Este problema é uma falha de design que não pode ser mitigada sem alterações para o usuário. “
Serviços de IP externos
Embora essa vulnerabilidade MiTM afete todas as versões do Kubernetes, apenas um pequeno número de implantações é vulnerável a ataques em potencial, pois os serviços IP externos não são amplamente usados em clusters multilocatários.
No entanto, como um patch não está disponível no momento, a Allclair recomenda que os administradores restrinjam o acesso a recursos vulneráveis para proteger seus clusters multilocatários.
Isso pode ser feito usando um contêiner de webhook de entrada criado pelo Comitê de Segurança do Produto Kubernetes, que é disponível para download aqui. Como alternativa, os endereços IP externos também podem ser restritos usando OPA Gatekeeper.
Para detectar ataques que exploram esta vulnerabilidade, é recomendado que os administradores auditem manualmente qualquer uso de IP externo. No entanto, ao mesmo tempo, os usuários não devem corrigir a integridade do serviço, pois os eventos de auditoria para solicitações autenticadas de integridade do serviço de patch podem ser suspeitos, de acordo com Allclair.
Através da BleepingComputer