行业新闻与博客

Kubernetes 安全漏洞也从 Microsoft 获得赏金





在发现了 Microsoft Azure 上托管的容器技术版本中的漏洞之后,安全研究人员从 Kubernetes 和 Microsoft 那里获得了漏洞赏金。



法国研究人员 Groupe Asten 的 Brice Augras 和诺基亚的 Christophe Hauquiert 运用服务器端请求伪造(SSRF)攻击来组合特权提升漏洞。



两人在准备就托管服务环境中的 Kubernetes 安全进行讨论后就发动了攻击。



动态利用

该漏洞(CVE-2020-8555)与 Kubernetes 捆绑在一起的动态卷配置技术有关,更具体地说,与内核内配置机制有关。



通过弄乱配置流程,研究人员能够访问云提供商的内部资源。



这打开了通往各种漏洞利用的门户,例如转储内部凭据 / 特权升级。



研究人员在技术博客中解释说:“根本原因(在这种情况下,是服务器端请求伪造)帮助我们摆脱了提供 [Kubernetes] 托管服务的多个提供商的客户环境。”



安全专家于 12月向 Microsoft 和 1月向 Kubernetes 报告了该漏洞。



在揭露该漏洞之前,两个组织均已收到漏洞赏金,该漏洞最初是在 3月计划的,但由于冠状病毒大流行而推迟了。



奥格拉斯(Augras)在评论这项研究时对《每日新闻》说:“这真是一次疯狂的经历。我们没想到社区会收到如此巨大的反馈!请继续关注更多内容,因为我们几乎不会使用类似于 Kubernetes 的实现来开发托管服务应用程序。”



本文由机器译制

 

需要帮助吗?联系我们的支持团队 在线客服