etcd API 未授权访问漏洞

最新推荐文章于 2024-04-16 16:35:14 发布
最新推荐文章于 2024-04-16 16:35:14 发布
阅读量1.4k 收藏 2
点赞数
分类专栏: 数据库:tidb 文章标签: etcd 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50015615/article/details/130861278
版权

安全检查发现etcd API 未授权访问漏洞,进行修复。

etcd是一个采用HTTP协议的健/值对存储系统,它是一个分布式和功能层次配置系统,可用于构建服务发现系统。用于共享配置和服务发现的分布式,一致性的KV存储系统.其很容易部署、安装和使用,提供了可靠的数据持久化特性。etcd提供了 API 访问的方式,但由于未配置认证,导致etcd API 存在未授权访问漏洞。

一、方案建议
方案一:配置身份验证, 防止止未经授权用用户访问
Tidb集群配置tls安全访问,需要先把pd节点由3节点缩容到1节点,这种方法对pd集群有一定风险,不太建议此方法。

方案二:访问控制策略略, 限制IP访问
开启操作系统iptabes,配置白名单,内部节点可访问pd节点。
此方案对集群的影响相对较小

二、方案二实施
TiDB集群中PD主机通过防火墙iptables设置白名单,PD之间互信,拒绝外来访问
yum install iptables-services
cat /etc/sysconfig/iptables
iptables -L -n

systemctl list-unit-files --type service | grep ‘enabled’
systemctl list-unit-files --type service | grep ‘enabled’ |grep pd
systemctl list-unit-files --type service | grep ‘enabled’ |grep tidb

1)检查tidb组件(...61、...63、..**.65)机器上的端口情况
tiup cluster display test-cluster

2)确认pd leader节点
tiup ctl:v4.0.12 pd -u ...61 member
tiup ctl:v4.0.12 pd -u ...61 member leader show

3)先开启非pd leader两个节点的防火墙,再把pd leader进行切换
tiup ctl:v4.0.12 pd -u ..**.61 member leader transfer {$pd-name}

4)确认防火墙状态
systemctl status iptables

5)打开iptables防火墙
systemctl start iptables

可能造成的风险:
在切换pd leader可能短暂出现tikv找不到pd节点,导致事务被 block,会对业务造成一定风险,影响时间在一个小时内,建议确认停止业务后进行操作

systemctl stop iptables
systemctl start iptables
iptables -I INPUT -p tcp --dport 4000 -j ACCEPT
iptables -I INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT
service iptables save

6)加入以下规则
iptables -I INPUT -s ...51 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...53 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...55 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...61 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...63 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...65 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...70 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...75 -p tcp -m tcp --dport 2379 -j ACCEPT
iptables -I INPUT -s ...51 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...53 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...55 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...61 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...63 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...65 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...70 -p tcp -m tcp --dport 2380 -j ACCEPT
iptables -I INPUT -s ...75 -p tcp -m tcp --dport 2380 -j ACCEPT

iptables -I INPUT -s ...51 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...53 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...55 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...61 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...63 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...65 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...70 -p tcp -m tcp --dport 8250 -j ACCEPT
iptables -I INPUT -s ...75 -p tcp -m tcp --dport 8250 -j ACCEPT

iptables -I INPUT -s ...51 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...53 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...55 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...61 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...63 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...65 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...70 -p tcp -m tcp --dport 10080 -j ACCEPT
iptables -I INPUT -s ...75 -p tcp -m tcp --dport 10080 -j ACCEPT

3)保存当前规则
service iptables save

4)检查PD iptables情况(...61、...63、..**.65) :
iptables -L -n

5)集群验证:
[tidb@monitor ~]$ tiup cluster display test-cluster

weixin_50015615
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【技术分享】etcd授权访问的风险及修复方案详解 .pdf
09-05
【技术分享】etcd授权访问的风险及修复方案详解 安全运营 安全架构 应急响应 安全建设 安全防护
Etcd API 授权访问漏洞修复
TiDB 社区干货传送门
10-31 802
作者: gary 原文来源: https://tidb.net/blog/2b186d9d ...
etcd授权到控制k8s集群
Love&Share
01-25 2990
在安装完 K8s 后,默认会安装 etcd 组件,etcd 是一个高可用的 key-value 数据库,它为 k8s 集群提供底层数据存储,保存了整个集群的状态。大多数情形下,数据库中的内容没有加密,因此如果黑客拿下 etcd,就意味着能控制整个 K8s 集群。如果目标在启动 etcd 的时候没有开启证书认证选项,且 2379 端口直接对外开放的话,则存在 etcd 授权访问漏洞
TiDB丨Etcd API 授权访问漏洞的修复
在数字化道路无限探索
12-28 1740
一文教你轻松修复漏洞
ETCD 授权访问实战案例
网络安全。
01-15 1522
3、通常情况下 etcd 所在 ip 即为 6443 管理端口所在 ip,探测后发现 6443 端口开放,接下来可通过 kubectl 操作 k8s。最终发现/registry/secrets/kube-system/tiller-token-vnnjg 为高权限 token。2、尝试在etcd里查询管理员的token,然后使用该token配合kubectl指令接管集群。pod 数量 131 个,实际容器数量大于等于 131 台。列出kube-system 下所有 pods。1、发现 etcd 授权
K8s攻击案例:etcd 授权访问
01-02 576
etcd 用于存储K8s集群中的所有配置数据和状态信息,如果管理员配置不当,导致etcd授权访问的情况,那么攻击者就可以从etcd中获取secrets&token等关键信息,进而通过kubectl创建恶意pod从而接管集群。 (1)攻击场景 将client-cert-auth=true 改为false,把listen-client-urls监听修改为0.0.0.0,将端口被暴露出去,导...
K8s攻击案例:组件授权访问导致集群入侵
12-25 8295
K8s集群往往会因为组件的不安全配置存在授权访问的情况,如果攻击者能够进行授权访问,可能导致集群节点遭受入侵。比较常见的的组件授权访问漏洞,主要包括 API Server 授权访问、kubelet 授权访问etcd 授权访问、kube-proxy 不安全配置、Dashboard授权访问。接下来,我们将对这几个授权访问的攻击场景和攻击过程进行详细的分析。01、 API Server...
授权访问漏洞的检测与利用
Yanug
05-07 2934
一、redis授权访问漏洞 漏洞描述 redis安装完以后,默认是没有账号密码的(安装redis详细可参考:redis相关笔记,如果redis是以root权限去运行,则可以被反弹shell或者写入ssh密钥,从而被获取服务器的权限。 漏洞检测 s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((host,port)) ...
Kubernetes 安全系列之: ETCD证书暴露攻击
SRE进阶之路
08-31 504
据悉,一个运行在单节点 Kubernetes 上的证书管理工具能够读取 TLS 证书以访问 API server的 etcd 存储。黑客将利用此读取访问权限来获取其他的权限级别从而掌控系统。本文将重现攻击以验证漏洞并了解如何修复它。...
常见中高危漏洞修复建议(汇总)
最新发布
weixin_59047731的博客
04-16 1125
【代码】常见中高危漏洞修复建议(汇总)
k8s学习记录-细节学习与攻击利用
Shanfenglan's blog
01-18 1454
文章目录1. serviceaccount2. RBAC3. sercret4. ConfigMap5. cgroup、Procfs、Ptrace6. K8s Pod Security Policies参考文章 1. serviceaccount 本来只有节点机器可以访问api server,容器是无法访问apiserver的,如果在创建容器的时候给其配置了serviceaccount,那么这个容器也会有权限访问api server。 如果不配置serviceaccount,则会使用默认的default账号
K8s下的授权及利用
wintercc1219的博客
02-04 1736
K8s下的授权及利用,API Server 8080/6443 授权访问漏洞复现,kubelet 10250 端口授权
最近碰到的授权访问漏洞(小总结)
来到了学渣的博客
07-12 2819
没有研究的太深,只是一些简单验证是否存在授权访问漏洞的方法。 zookeeper 2181端口 ZooKeeper 是一个分布式的开放源码的分布式应用程序协调服务,ZooKeeper 默认开启在 2181 端口在进行任何访问控制的情况下攻击者可通过执行 envi 命令获得系统大量的敏感信息包括系统名称Java 环境,任意用户在网络可达的情况下进行为授权访问并读取数据甚至 kill 服务 echo envi|nc ip 2181 其中envi可以换stat ruok reqs dump Rsyn
授权访问漏洞总结
热门推荐
七月_的博客
08-20 2万+
Web端 http://219.141.242.77:7777/pe-admin/ #后台授权访问 http://219.141.242.77:7777/pe-admin/main.jsp 参考:华泰保险某系统漏洞打包(授权访问\弱口令\Getshell) 服务端 授权访问可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷,导致其他用户可以直接访问,从而引发重要权限可被...
TiDB-PD授权漏洞
ATpiu的博客
01-16 1486
了解TiDB数据库的人可能并不多,今天记录下TiDB-PD授权漏洞主要原因有: TiDB目前应用越来越广泛,特别是目前k8s和各类云快速发展 网上baidu甚至google对TiDB-PD漏洞基本文章
常见授权访问漏洞总结
sc_Pease的博客
12-25 2582
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 常见的授权访问漏洞: Redis 授权访问漏洞 MongoDB 授权访问漏洞 Jenkins 授权访问漏洞 Memcached 授权访问漏洞 JBOSS 授权访问漏洞 VNC 授权访问漏洞 Docker 授权访问漏洞 ZooKeeper 授权访问漏洞 Rsync 授权访问漏洞 Atlassian Crowd 授权访问漏洞 CouchDB 授权访问漏洞 Elasticsearch 授权访问漏洞 Hadoop
 etcd 授权访问漏洞
12-22
是的,我了解ETCD存在授权访问漏洞。 在许多生产环境中,ETCD作为一种可靠的分布式键值存储系统,用于数据同步和协调各种服务。然而,最近发现了针对ETCD授权访问漏洞,攻击者可能能够访问授权的数据。 该漏洞存在于ETCD的网络通信中,可能导致授权的用户或恶意用户访问ETCD服务器上的敏感数据。攻击者可以利用此漏洞,通过发送恶意请求来获取或修改ETCD集群中的数据,从而获取敏感信息或执行恶意操作。 为了防范此类漏洞,建议采取以下措施: 1. 实施严格的访问控制:确保只有授权用户能够访问ETCD集群,并实施适当的身份验证和授权策略。 2. 使用加密通信:使用加密通信协议(如TLS)来保护ETCD与外部系统的通信。这将确保数据在传输过程中的安全性。 3. 定期审计和监控:定期对ETCD集群进行安全审计,确保没有任何授权访问尝试。同时,监控ETCD的网络流量,以便及时发现异常行为。 4. 更新和补丁:确保ETCD软件版本是最新的,并积极获取针对此类漏洞的补丁和修复程序。 5. 实施安全最佳实践:遵循ETCD的最佳安全实践,如限制对ETCD服务的网络访问,只允许必要的端口和协议通过,并限制对ETCD集群的远程访问。 总之,通过实施上述安全措施,可以减少ETCD授权访问漏洞的风险,保护数据安全。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值