Todas as versões do Kubernetes correm risco de ataque
Foi descoberta uma vulnerabilidade man-in-the-middle (MiTM) sem patch que afeta todas as versões do Kubernetes e pode ser explorada remotamente por invasores.
A vulnerabilidade de gravidade média, descoberta por Etienne Champetier da Anevia no ano passado e rastreada como CVE-2020-8554, permite que um invasor crie ou edite serviços e pods para interceptar o tráfego de outros pods (ou nós) sem interação do usuário.
O engenheiro de software da Apple, Tim Allclair, explicou que o problema é uma falha de design que afeta todas as versões do Kubernetes em um relatório publicado recentemente aviso de segurança, dizendo:
“Se um invasor potencial já puder criar ou editar serviços e pods, ele poderá interceptar o tráfego de outros pods (ou nós) no cluster. Este problema é uma falha de design que não pode ser mitigada sem mudanças voltadas para o usuário. ”
Serviços de IP externos
Embora esta vulnerabilidade MiTM afete todas as versões do Kubernetes, apenas um pequeno número de implantações é vulnerável a ataques potenciais, pois os serviços de IP externo não são amplamente usados em clusters multilocatários.
No entanto, como um patch não está disponível no momento, Allclair recomenda que os administradores restrinjam o acesso aos recursos vulneráveis para proteger seus clusters multilocatários.
Isso pode ser feito usando um contêiner de webhook de admissão criado pelo Comitê de Segurança do Produto Kubernetes que é disponível para download aqui. Como alternativa, os IPs externos também podem ser restritos usando OPA Gatekeeper.
Para detectar ataques que exploram esta vulnerabilidade, é recomendado que os administradores auditem manualmente qualquer uso de IP externo. Ao mesmo tempo, porém, os usuários não devem corrigir o status do serviço, pois os eventos de auditoria para solicitações de status do serviço de patch autenticadas para um usuário podem ser suspeitos, de acordo com Allclair.
Através da BleepingComputer