Se ha descubierto una vulnerabilidad man-in-the-middle (MiTM) sin parches que afecta a todas las versiones de Kubernetes y que los atacantes pueden explotar de forma remota.
La vulnerabilidad de gravedad media, descubierta por Etienne Champetier de Anevia el año pasado y rastreada como CVE-2020-8554, permite a un atacante con la capacidad de crear o modificar servicios y pods para interceptar el tráfico que se origina en 'otros pods (o nodos) sin interacción del usuario.
El ingeniero de software de Apple, Tim Allclair, explicó que el problema es una falla de diseño que afecta a todas las versiones de Kubernetes en un aviso de seguridad publicado recientemente, diciendo:
“Si un atacante potencial ya puede crear o modificar servicios y pods, es posible que pueda interceptar el tráfico procedente de otros pods (o nodos) en el clúster. Este problema es un defecto de diseño que no se puede mitigar sin modificaciones del usuario. "
Servicios de IP externos
Si bien esta vulnerabilidad de MiTM afecta a todas las versiones de Kubernetes, solo una pequeña cantidad de implementaciones son vulnerables a posibles ataques, ya que los servicios de IP externos no se utilizan ampliamente en clústeres de múltiples inquilinos.
Sin embargo, como una solución no está disponible en este momento, Allclair recomienda que los administradores restrinjan el acceso a las funciones vulnerables para proteger sus clústeres de múltiples inquilinos.
Esto se puede hacer mediante un contenedor de webhook de admisión creado por el Comité de seguridad de productos de Kubernetes que se puede descargar aquí. Las direcciones IP externas también se pueden restringir mediante OPA Gatekeeper.
Para detectar ataques que aprovechen esta vulnerabilidad, se recomienda que los administradores auditen manualmente cualquier uso de direcciones IP externas. Sin embargo, al mismo tiempo, los usuarios no deben aplicar parches de estado del servicio porque los eventos de auditoría para las solicitudes de estado del servicio de parches autenticados a un usuario pueden ser sospechosos, según Allclair.
Vía BleepingComputer