突发!Kubernetes生态社区披露最新安全漏洞
突发!Kubernetes生态社区披露最新安全漏洞
编辑 | zouyee
近期Kubernetes生态社区披露两起安全事件,涉及kubelet组件及kyverno项目,主要为提权漏洞及DOS攻击,CVE-2023-5528及CVE-2023-47630,主要涉及Kubernetes、及Kyverno 等社区,详细内容参见下文
CVE-2023-5528: 存储提权漏洞
CVSS评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - 高风险 (7.2)
在 Kubernetes 中发现了一个安全问题,允许能够在 Windows 节点上创建 Pods 和持久卷的用户可能会升级到这些节点上的管理员权限。仅当 Kubernetes 集群使用 Windows 节点的树形存储插件时才受到影响。
Am I vulnerable?
Kubernetes集群中Windows得节点会受到影响。运行 kubectl get nodes -l kubernetes.io/os=windows 来查看是否有Windows节点。
Affected Versions
- kubelet >= v1.8.0
How do I mitigate this vulnerability?
上述漏洞可以通过社区提供的kubelet补丁来避免,在Windows node上创建pod,并配置存储时,Kubelet会使用内置(in-tree)存储插件,如azure的插件,通过获取volumes.azureDisk.diskURI传入的MountSensitive的source参数,将参数拼接至mklink命令语句中,最终使用管理员权限执行cmd语句,上述行为给提权创建了条件,导致攻击者可以在宿主机 node 上以管理员权限执行任意命令。当前kubernetes支持包括iscsi/nfs/azure/aws/等20+种存储插件。
Fixed Versions
- kubelet master
- kubelet v1.28.4
- kubelet v1.27.8
- kubelet v1.26.11
- kubelet v1.25.16
Detection
可以使用 Kubernetes 审计日志来检测是否有攻击者利用此漏洞, 重点关注创建特殊字符得本地卷事件
Acknowledgements
这个漏洞是由Tomer Peled报告的,由cji修复。
CVE-2023-47630: 镜像Digest验证漏洞
CVSS评分: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H - 高风险 (7.1)
在Kyverno 中发现了一个漏洞,其允许攻击者控制 Kyverno 用户使用的镜像的Digest(用户拉取镜像时,首先获取的是镜像的Digest,通过Digest获取所需拉取的镜像层)。攻击者伪造 Kyverno 提取镜像的Digest。然后,攻击者可以向用户返回一个有问题的的镜像层(或镜像),并利用其进一步提权。
Am I vulnerable?
用户从受信任的镜像仓库中拉取镜像将不受此漏洞的影响。当前暂未有证据表明此漏洞被利用
Affected Versions
- kyverno < v1.1.0
How do I mitigate this vulnerability?
上述漏洞可以通过社区提供的kyverno补丁来避免。
Fixed Versions
- kyverno >= v1.1.0
Detection
此漏洞是由 Ada Logics 进行的 Kyverno 的持续安全审计期间发现的。
Acknowledgements
由于笔者时间、视野、认知有限,本文难免出现错误、疏漏等问题,期待各位读者朋友、业界专家指正交流。
参考文献
1. https://github.com/kyverno/kyverno/security/advisories/GHSA-3hfq-cx9j-923w
2. https://github.com/kubernetes/kubernetes/issues/121879