Η Επιτροπή Ασφάλειας Προϊόντων Kubernetes έχει παράσχει συμβουλές για το πώς να εμποδίσουν προσωρινά τους επιτιθέμενους από το να εκμεταλλευτούν μια ευπάθεια που θα τους επέτρεπε να παρακολουθήσουν την κυκλοφορία από άλλα pods σε clusters πολλαπλής ενοικίασης Kubernetes σε επιθέσεις man-in-the-middle (MiTM).
Το Kubernetes (γνωστός και ως K8s), το οποίο αναπτύχθηκε αρχικά από την Google και τώρα συντηρείται από το Cloud Native Computing Foundation, είναι ένα σύστημα ανοιχτού κώδικα που έχει σχεδιαστεί για να βοηθήσει στην αυτοματοποίηση της ανάπτυξης, της κλιμάκωσης και της διαχείρισης των workloads, των υπηρεσιών και των εφαρμογών που διευκολύνει τόσο το configuration όσο και τον αυτοματισμό.
Οι επηρεαζόμενες υπηρεσίες δεν αναπτύσσονται ευρέως
Το ζήτημα ασφάλειας μέσης σοβαρότητας αναφέρεται ως CVE-2020-8554 και αναφέρθηκε από τον Etienne Champetier της Anevia.
Μπορεί να αξιοποιηθεί εξ αποστάσεως από εισβολείς με βασικά δικαιώματα ενοικιαστή (όπως η δημιουργία ή η επεξεργασία υπηρεσιών και pods) χωρίς αλληλεπίδραση χρήστη ως μέρος επιθέσεων χαμηλής πολυπλοκότητας.
Το CVE-2020-8554 είναι ένα ελάττωμα σχεδιασμού που επηρεάζει όλες τις εκδόσεις Kubernetes, με τα clusters πολλαπλών ενοικιαστών που επιτρέπουν στους ενοικιαστές να δημιουργούν και να ενημερώνουν υπηρεσίες και pods να είναι τα πιο ευάλωτα στις επιθέσεις.
Ευτυχώς, η ευπάθεια θα πρέπει να επηρεάσει έναν μικρό αριθμό από deployments Kubernetes, δεδομένου ότι οι υπηρεσίες εξωτερικής IP δεν χρησιμοποιούνται εκτενώς σε clusters πολλαπλών ενοικιαστών.
Πώς να αποκλείσετε τα CVE-2020-8554 exploits
Επειδή η ομάδα ανάπτυξης του Kubernetes δεν έχει ακόμη παράσχει μια ενημέρωση ασφαλείας για την αντιμετώπιση αυτού του ζητήματος, συνιστάται στους διαχειριστές να μετριάσουν το CVE-2020-8554 περιορίζοντας την πρόσβαση στις ευάλωτες δυνατότητες.
Μπορείτε να χρησιμοποιήσετε ένα container webhook εισαγωγής για τον περιορισμό της εξωτερικής χρήσης IP – ο πηγαίος κώδικας και οι οδηγίες ανάπτυξης διατίθενται εδώ.
Οι εξωτερικές διευθύνσεις IP μπορούν επίσης να περιοριστούν με τη βοήθεια του ελεγκτή πολιτικής Open Policy Agent Gatekeeper για Kubernetes χρησιμοποιώντας περιορισμούς και πρότυπα τα οποία είναι διαθέσιμα εδώ.
Για να εντοπίσετε επιθέσεις που προσπαθούν να εκμεταλλευτούν αυτήν την ευπάθεια, πρέπει να ελέγξετε χειροκίνητα την εξωτερική χρήση των IP στα clusters πολλαπλών ενοικιαστών χρησιμοποιώντας τις ευάλωτες δυνατότητες.
Πηγή πληροφοριών: bleepingcomputer.com
