En oparpad man-in-the-middle (MiTM)-sårbarhet har upptäckts som påverkar alla versioner av Kubernetes och kan utnyttjas på distans av angripare. Den medelsvåra sårbarheten, upptäckt av Etienne Champetier från Anevia förra året och spårades som CVE-2020-8554, tillåter en angripare med förmågan att skapa eller modifiera tjänster och pods för att fånga upp trafik som kommer från "andra pods (eller noder) utan användarinteraktion . Apples mjukvaruingenjör Tim Allclair förklarade att problemet är ett designfel som påverkar alla versioner av Kubernetes i en nyligen publicerad säkerhetsrådgivning, och sa: "Om en potentiell angripare redan kan skapa eller modifiera tjänster och pods, kanske du kan fånga upp trafik som kommer från andra baljor (eller noder) i klustret. Det här problemet är ett designfel som inte kan mildras utan användarändringar. "
Externa IP-tjänster
Även om denna MiTM-sårbarhet påverkar alla versioner av Kubernetes, är bara ett litet antal implementeringar sårbara för potentiella attacker, eftersom externa IP-tjänster inte används i stor utsträckning i multi-tenant-kluster. Men eftersom en fix inte är tillgänglig för närvarande rekommenderar Allclair att administratörer begränsar åtkomsten till sårbara funktioner för att skydda sina kluster med flera hyresgäster. Detta kan göras med hjälp av ett webbhookomslag skapat av Kubernetes Product Security Committee som kan laddas ner här. Externa IP-adresser kan också begränsas med OPA Gatekeeper. För att upptäcka attacker som utnyttjar denna sårbarhet, rekommenderas att administratörer manuellt granskar all användning av externa IP-adresser. Men samtidigt bör användare inte tillämpa servicehälsopatchar eftersom granskningshändelser för patchservicehälsoförfrågningar som autentiserats för en användare kan vara misstänksamma, enligt Allclair. Via BleepingComputer