如何使用Falco檢測漏洞CVE-2020-8554
漏洞概述
漏洞CVE-2020-8554是一個能夠影響多用戶Kubernetes群集的漏洞,如果潛在的攻擊者可以創建或編輯服務和Pod,那么他們就可以攔截來自集群中其他Pod或節點的流量了。
攻擊者如果能夠創建一個ClusterIP服務并設置.spec.externalIPs字段的話,他們就能夠攔截全部到該IP的流量。除此之外,攻擊者還可以修復LoadBalancer服務的狀態,并通過設置status.loadBalancer.ingress.ip來實現類似的效果。通常來說,這種都屬于特權操作,一般不會授予普通用戶去進行操作訪問。
這個漏洞屬于Kubernetes設計缺陷,如果不對用戶層面的運行機制進行修改的話,該漏洞將很難被修復或緩解。
安全按等級
中危
漏洞分析
Kubernetes (簡稱K8s)是是一個開源的,用于管理云平臺中多個主機上的容器化的應用,Kubernetes的目標是讓部署容器化的應用簡單并且高效,Kubernetes提供了應用部署、規劃、更新、維護的一種機制。K8s 最早是由谷歌開發的,目前由Cloud Native Computing Foundation 基金會維護。
研究人員在K8s 中發現一個影響所有K8s版本的設計漏洞,允許租戶創建和更新服務的多租戶集群成為最易受到攻擊的目標。如果攻擊者可以創建或編輯服務或pod,可能就可以攔截集群中來自其他pod的流量。如果用任意的外部IP 來創建一個服務,集群中到該IP 的流量就會被路由到該服務,這樣有權限利用外部IP 來創建服務的攻擊者就可以攔截到任意目標IP的流量。
CVE-2020-8554漏洞是中危漏洞,有創建和編輯服務和pod等基本租戶權限的攻擊者可以在沒有任何用戶交互的情況下遠程利用該漏洞。
由于External IP (外部IP)服務并沒有廣泛應用于多租戶集群中,而且授予租戶LoadBalancer IP 的補丁服務/狀態權限并不推薦,因此該漏洞只影響少量的Kubernetes 部署。
使用Falco檢測CVE-2020-8554
檢測針對該漏洞的漏洞利用嘗試或攻擊活動是防范此類網絡攻擊的關鍵,我們現在可以使用Falco來在主機和容器層面檢測針對該漏洞的而已活動。Falco是CNCF的開源項目,可以用于容器和Kubernetes的運行時威脅檢測。
Falco的好處之一是其功能強大而靈活的規則語言,當Falco發現由一組可定制的規則定義的異常行為時,它將為我們生成并報告安全事件。與此同時,Falco還提供了一些現成的檢測規則可供我們使用。
接下來,我們一起看一看如何使用Falco來檢測何時有人試圖使用外部IP創建集群類型的服務事件。
如前文所述,漏洞CVE-2020-8554是由Kubernetes設計缺陷造成的。它允許具有創建/修復服務權限的用戶將網絡流量重定向到外部IP地址。大多數情況下,當一個只用于內部通信的服務被創建時,一個私有IP地址被分配給這個服務。
由于這是一個私有IP地址,那么Kubernetes集群中就沒有人可以訪問這種服務了。不過,用戶還可以給這個服務配置并綁定一個外部IP地址。
實際上,這種操作行為是符合規范的。但是,惡意攻擊者也可以利用該功能來執行中間人(MitM)攻擊。
Falco規則:檢測綁定外部IP地址的Kubernetes服務
如果你認為自己受到了漏洞CVE-2020-8554的影響,可以使用下列Falco規則來進行漏洞檢測:
- - macro: service_with_external_IP
- condition: (jevt.value[/requestObject/spec/externalIPs] exists and jevt.value[/requestObject/spec/externalIPs] != "<NA>")
- - rule: Create/Update ClusterIP Service with External IP
- desc: Detect an attempt to modify a ClusterIP type service with external IP assigned (CVE-2020-8554)"
- condition:kevt and service and kmodify and jevt.value[/responseObject/spec/type]=ClusterIP and service_with_external_IP
- output: ClusterIP type service created/updated with external IP assigned (user=%ka.user.name service=%ka.target.name ns=%ka.target.namespace operation=%ka.verb ports=%ka.req.service.ports external IP=%jevt.value[/requestObject/spec/externalIPs])
- priority: WARNING
- source: k8s_audit
當有人使用外部IP地址創建或修改一個服務的話,Falco將會輸出下列安全事件:
總結
請記住,漏洞CVE-2020-8554是一個由于設計缺陷而無法修復的漏洞,因此我們建議廣大用戶應該使用適當的安全工具來對Kubernetes集群進行安全監控。
