K8s爆严重安全漏洞?有何应对措施与建议

最新推荐文章于 2024-06-17 03:42:48 发布
最新推荐文章于 2024-06-17 03:42:48 发布
阅读量1.4k 收藏
点赞数
分类专栏: CCE 云容器 容器魔方 华为云 k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42849832/article/details/84838672
版权

Kubernetes最近爆出严重安全漏洞,影响几乎目前所有的版本。实际影响究竟多大?老版本用户是否必须升级?以下是华为云容器服务团队对该漏洞的分析解读。

Kubernetes爆出的严重安全漏洞:

攻击者通过构造特殊请求,可以在一个普通权限的链接上提升权限,向被代理的后端服务器发送任意请求。

该问题影响了几乎Kubernetes目前所有的版本,包括:

Kubernetes v1.0.x-1.9.x

Kubernetes v1.10.0-1.10.10 (fixed in v1.10.11)

Kubernetes v1.11.0-1.11.4 (fixed in v1.11.5)

Kubernetes v1.12.0-1.12.2 (fixed in v1.12.3)

什么样的集群可能被攻击?

集群启用了扩展API server,并且kube-apiserver与扩展API server的网络直接连通;

集群对攻击者可见,即攻击者可以访问到kube-apiserver的接口,如果你的集群是部署在安全的私网内,那么不会有影响;

集群开放了 pod exec/attach/portforward 接口,则攻击者可以利用该漏洞获得所有的kubelet API访问权限。

再看具体影响的场景

集群使用了聚合API,只要kube-apiserver与聚合API server的网络直接连通,攻击者就可以利用这个漏洞向聚合API服务器发送任何API请求;

如果集群开启了匿名用户访问的权限,则匿名用户也利用这个漏洞。不幸的是K8s默认允许匿名访问

最低0.47元/天 解锁文章
云容器大师
关注
专栏目录
K8S 生态周报| Kubernetes 出全版本漏洞
k8s 生态
09-19 624
“「K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s生态」[1]。”大家好,我是张晋涛。Kubernetes CVE-2022-3172 安全漏洞扩展 Kubernetes 的方法有很多种,目前扩展 API 方面用到最多的是 自定义资源定义(CRD)和聚合 API(Aggregation API)。 自定义资源定义主要是为了让 Kube...
浅谈云上攻防——CVE-2020-8562漏洞为k8s带来的安全挑战
YDclub的博客
10-25 1134
前言 2021年4月,Kubernetes社区披露了一个编号为CVE-2020-8562的安全漏洞,授权用户可以通过此漏洞访问 Kubernetes 控制组件上的私有网络。 通过查阅此漏洞披露报告可发现,这个漏洞拥有较低的CVSS v3评分,其分值仅有2.2分,与以往披露的Kubernetes高危漏洞相比,这个拥有较低评分的漏洞极其容易被安全研究人员以及运维人员所忽视。但经过研发测试发现,在实际情况中,这个低风险的漏洞却拥有着不同于其风险等级的威胁:在与云上业务结合后,CVE-2020-8562漏洞将会
多种方案图文并茂分分钟教你解决Kubernetes(k8s)容器安全问题(不断更新中)
最新发布
tangdou369098655的博客
06-17 1111
在Kubernetes中,securityContext是一个非常重要的概念,用于设定Pod或容器级别的安全选项。它允许你控制容器的运行权限、用户标识、SELinux选项等,从而增强容器的安全性。
k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1322
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
【独家】K8S漏洞报告 | 近期bug fix解读
weixin_30929011的博客
04-19 172
安全漏洞CVE-2019-3874分析 Kubernetes近期重要bug fix分析 Kubernetes v1.13.5 bug fix数据分析 ——本周更新内容 安全漏洞CVE-2019-3874分析 3月21日,Kubernetes社区通过Google Group频道Kubernetes developer/contributor discussion发布了安全漏洞C...
K8S安全机制介绍
weixin_39970002的博客
11-09 2617
K8S安全机制介绍概述认证(Authentication)授权鉴权(Authorization)准入控制(Adminssion Control) 概述 K8S安全控制框架主要由下面3个阶段进行控制,每一个阶段都支持插件方式,通过API Server配置来启用插件。 Authentication Authorization Admission Control 当kubectl ,ui,程序 等请求某个 k8s 接口时,需要经过认证(判断真伪),鉴权(是否有权限这么做),准入控制(能不能个这
K8s集群安全攻防(上)
hackzkaq的博客
01-19 612
在打攻防演练的时候偶尔会遇到目标内网资产采用集群化部署的情况(GuoQi偏多),在这种情况下由于刷分需求就需要对集群进行攻击测试以争取控制整个集群,本篇文章将从K8s的基本概念、主要组件、架构和安全评估测试方法等维度对K8s的安全进行系统性介绍。
K8S安全漏洞应对之策:API Server拒绝服务漏洞
Rancher
03-08 384
Kubernetes出中等严重安全漏洞——Kubernetes API Server拒绝服务漏洞CVE-2019-1002100。 本文将进行漏洞解读和情景再现,并分享漏洞修复方案,Rancher用户来看应对之策了! CVE-2019-1002100漏洞 美国当地时间2019年3月2日,Kubernetes社区发布了Kubernetes API server拒绝服务的漏洞(CVE-2019...
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证.pdf
09-18
【安全通知】NPM遭遇供应链投毒攻击窃取K8S集群凭证的事件揭示了当前网络安全面临的一个严重问题。NPM(Node Package Manager)作为JavaScript社区最广泛使用的包管理器,已经成为攻击者瞄准的目标,他们利用恶意包...
KubiScan:一种扫描Kubernetes集群以获取危险权限的工具
02-03
一种在Kubernetes的基于角色的访问控制(RBAC)授权模型中扫描Kubernetes群集以获取危险权限的工具。 该工具已作为“通过消除风险许可保护Kubernetes集群”研究的一部分发布, 。 总览 KubiScan帮助群集管理员确定攻击者可能利用来破坏群集的权限。 这在大型环境中尤其有用,因为在大型环境中,许多权限可能难以跟踪。 KubiScan收集有关危险角色\集群,角色绑定\集群角色绑定,用户和吊舱的信息,自动化传统的手动流程,并为管理员提供降低风险所需的可见性。 它能做什么? 识别危险角色\ ClusterRoles 识别危险的RoleBindings \ ClusterRoleBindings 确定有风险的主题(用户,组和服务帐户) 识别危险的豆荚\容器 从Pod中转储令牌(全部或按名称空间) 获取与角色,ClusterRole或主题(用户,组或服务帐户)关联的RoleBindings \ ClusterRoleBindings 列出特定种类的主题(“用户”,“组”或“ ServiceAccount”) 列出RoleBinding或ClusterR
零信任策略下K8s安全监控最佳实践(K+)
阿里云技术
09-19 576
本文重点将围绕监控防护展开,逐层递进地介绍如何在复杂的分布式容器化环境中借助可观测性平台,持续监控K8s集群,及时发现异常的 API 访问事件、异常流量、异常配置、异常日志等行为,并且结合合理的告警策略建立更主动的安全防御体系。
10. K8S_Linux-k8s控制器-Deployment安全性配置
# 1. 理解Kubernetes中的Deployment控制器 ## 1.1 什么是Kubernetes中的Deployment控制器? 在Kubernetes中,Deployment控制器是一种资源对象,用于定义应用程序的部署方式,并确保部署的稳定性和可靠性。...
扒一扒过去一年K8S高危漏洞都有哪些?
力哥讲技术
03-13 1360
在过去的一年里,Kubernetes继续稳固其在关键基础设施领域的地位,成为无论是小型还是大型组织都广受欢迎的选择。然而,随着更多开发人员将Kubernetes部署与其他云原生组件相结合,构建出更加完善的工作系统时,这也使得Kubernetes更容易遭受攻击。更多的组件和更加复杂的基础架构也增加了易受攻击的范围,这是需要我们运维人员关注的。根据 Red Hat 的2022 年 Kubernetes 安全状况报告:https://www.redhat.com/rhdc/managed-files/cl-sta
K8s攻击案例:组件未授权访问导致集群入侵
12-25 8436
K8s集群往往会因为组件的不安全配置存在未授权访问的情况,如果攻击者能够进行未授权访问,可能导致集群节点遭受入侵。比较常见的的组件未授权访问漏洞,主要包括 API Server 未授权访问、kubelet 未授权访问、etcd 未授权访问、kube-proxy 不安全配置、Dashboard未授权访问。接下来,我们将对这几个未授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
k8s安全机制
孔小发
10-09 647
https://jiayi.space/post/kubernetescong-ru-men-dao-fang-qi-4-an-quan-ji-zhi
DevSecOps 需要知道的十大 K8s 安全风险及建议
分享 GPU 管理与大模型推理相关技术实践
12-28 663
Kubernetes (K8s)是现代云原生世界中的容器管理平台。它实现了灵活、可扩展地开发、部署和管理微服务。K8s 能够与各种云提供商、容器运行时接口、身份验证提供商和可扩展集成点一起工作。然而。根据 Red Hat 的 2022 年 K8s 安全报告,在过去 12 个月的过程中,几乎所有参与研究的 K8s 用户都经历过至少一次安全事件。因此,可以说 K8s 环境在默认情况下并不安全,并且容易面临风险。本文将讨论 10 大 K8s 安全风险,并就如何避免这些风险给出提示。
K8s生产环境安全挑战与应对策略详解
1. **组件安全**:K8s自身的组件、容器运行时和操作系统都需要保持安全,如通过使用可信源安装、定期更新和维护操作系统审计日志来确保其安全性。 2. **供应链攻击**:由于容器镜像的管理和使用,容易受到恶意镜像、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值