Une vulnérabilité non corrigée de l’homme du milieu (MiTM) a été découverte qui affecte toutes les versions de Kubernetes et peut être exploitée à distance par des attaquants.
La vulnérabilité de gravité moyenne, découverte par Etienne Champetier d’Anevia l’année dernière et suivie comme CVE-2020-8554, permet à un attaquant ayant la possibilité de créer ou de modifier des services et des pods d’intercepter le trafic provenant d’autres pods (ou nœuds) sans interaction de l’utilisateur.
Ingénieur logiciel chez Apple, Tim Allclair a expliqué que le problème est une faille de conception qui affecte toutes les versions de Kubernetes dans un avis de sécurité récemment publié, en disant:
«Si un attaquant potentiel peut déjà créer ou modifier des services et des pods, il peut alors être en mesure d’intercepter le trafic provenant d’autres pods (ou nœuds) du cluster. Ce problème est une faille de conception qui ne peut pas être atténuée sans des modifications apportées par l’utilisateur. »
Sommaire
Services IP externes
Bien que cette vulnérabilité MiTM affecte toutes les versions de Kubernetes, seul un petit nombre de déploiements est vulnérable aux attaques potentielles, car les services IP externes ne sont pas largement utilisés dans les clusters multi-locataires.
Cependant, comme un correctif n’est pas disponible pour le moment, Allclair recommande aux administrateurs de restreindre l’accès aux fonctionnalités vulnérables pour protéger leurs clusters multi-locataires.
Cela peut être fait en utilisant un conteneur de webhook d’admission créé par le comité de sécurité des produits Kubernetes qui est disponible en téléchargement ici. Les adresses IP externes peuvent également être restreintes à l’aide de OPA Gatekeeper.
Pour détecter les attaques exploitant cette vulnérabilité, il est recommandé aux administrateurs d’auditer manuellement toute utilisation d’adresses IP externes. Dans le même temps, cependant, les utilisateurs ne doivent pas appliquer de correctifs à l’état du service, car les événements d’audit pour les demandes de statut de service de correctif authentifiées auprès d’un utilisateur peuvent être suspects, selon Allclair.
Via BleepingComputer
