一个谜语,包裹在一个谜中,在容器内
安全研究人员赢得了错误赏金从Kubernetes和Microsoft发现了Microsoft Azure上托管的容器技术版本的漏洞之后。
法国研究人员ASTEN的Brice Augras和诺基亚的Christophe Hauquiert应用了服务器端请求伪造((SSRF)攻击以汇总特权高程利用。
二人在出发准备在托管服务环境中就Kubernetes安全的演讲进行演讲后开发了攻击。
动态利用
缺陷(CVE-2020-8555)与与Kubernetes捆绑在一起的动态体积供应技术有关,更具体地说是核心内部配置机制。
通过弄乱供应过程,研究人员能够访问云提供商的内部资源。
这打开了通往各种利用的门户,例如倾倒内部凭据/特权升级。
研究人员在一份中解释说:“根本原因(在这种情况下,服务器端请求伪造)帮助我们在提供[Kubernetes]托管服务的多个提供商的客户环境中逃脱了我们的客户环境。”技术博客文章。
安全专业人员报告了漏洞微软在12月和1月的Kubernetes。
在披露该缺陷之前,这两个组织都收到了漏洞赏金,该缺陷最初是在3月计划的,但由于该缺陷而被推迟。新冠病毒大流行。
奥格拉斯在评论研究时告诉每日swbeplay2018官网ig:“这是一次非常疯狂的经历;我们没想到社区会有如此出色的反馈!请继续关注更多内容,因为我们几乎不从事具有类似Kubernetes的实施的托管服务应用程序。”
该故事已更新以添加研究人员的评论
