突发!Kubernetes生态社区披露最新安全漏洞

文摘   科技   2023-12-02 08:00   江苏  


编辑 | zouyee

近期Kubernetes生态社区披露两起安全事件,涉及kubelet组件及kyverno项目,主要为提权漏洞及DOS攻击CVE-2023-5528及CVE-2023-47630,主要涉及Kubernetes、及Kyverno 等社区,详细内容参见下文

CVE-2023-5528:  存储提权漏洞


CVSS评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - 高风险 (7.2)

在 Kubernetes 中发现了一个安全问题,允许能够在 Windows 节点上创建 Pods 和持久卷的用户可能会升级到这些节点上的管理员权限。仅当 Kubernetes 集群使用 Windows 节点的树形存储插件时才受到影响。

Am I vulnerable?

Kubernetes集群中Windows得节点会受到影响。运行 kubectl get nodes -l kubernetes.io/os=windows 来查看是否有Windows节点。

Affected Versions

  • kubelet  >= v1.8.0

How do I mitigate this vulnerability?

上述漏洞可以通过社区提供的kubelet补丁来避免,在Windows node上创建pod,并配置存储时,Kubelet会使用内置(in-tree)存储插件,如azure的插件,通过获取volumes.azureDisk.diskURI传入的MountSensitive的source参数,将参数拼接至mklink命令语句中,最终使用管理员权限执行cmd语句,上述行为给提权创建了条件,导致攻击者可以在宿主机 node 上以管理员权限执行任意命令。当前kubernetes支持包括iscsi/nfs/azure/aws/等20+种存储插件。

Fixed Versions

  • kubelet master

  • kubelet v1.28.4

  • kubelet v1.27.8

  • kubelet v1.26.11

  • kubelet v1.25.16

Detection

可以使用 Kubernetes 审计日志来检测是否有攻击者利用此漏洞, 重点关注创建特殊字符得本地卷事件

Acknowledgements

这个漏洞是由Tomer Peled报告的,由cji修复。


CVE-2023-47630: 镜像Digest验证漏洞



CVSS评分:  CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - 高风险 (7.1)

Kyverno 中发现了一个漏洞,其允许攻击者控制 Kyverno 用户使用的镜像的Digest(用户拉取镜像时,首先获取的是镜像的Digest,通过Digest获取所需拉取的镜像层)。攻击者伪造 Kyverno 提取镜像的Digest。然后,攻击者可以向用户返回一个有问题的的镜像层(或镜像),并利用其进一步提权。

Am I vulnerable?

用户从受信任的镜像仓库中拉取镜像将不受此漏洞的影响。当前暂未有证据表明此漏洞被利用

Affected Versions

  • kyverno  < v1.1.0

How do I mitigate this vulnerability?

上述漏洞可以通过社区提供的kyverno补丁来避免。

Fixed Versions

  • kyverno >= v1.1.0

Detection

此漏洞是由 Ada Logics 进行的 Kyverno 的持续安全审计期间发现的。

Acknowledgements


由于笔者时间、视野、认知有限,本文难免出现错误、疏漏等问题,期待各位读者朋友、业界专家指正交流。


参考文献

   1. https://github.com/kyverno/kyverno/security/advisories/GHSA-3hfq-cx9j-923w

    2. https://github.com/kubernetes/kubernetes/issues/121879



👇🏻 真诚推荐你关注👇🏻


DCOS
CNCF 云原生基金会大使,CoreDNS 开源项目维护者。主要分享云原生技术、云原生架构、容器、函数计算等方面的内容,包括但不限于 Kubernetes,Containerd、CoreDNS、Service Mesh,Istio等等