中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何使用Falco檢測漏洞CVE-2020-8554

發布時間:2021-12-23 10:45:36 來源:億速云 閱讀:216 作者:柒染 欄目:安全技術

這期內容當中小編將會給大家帶來有關如何使用Falco檢測漏洞CVE-2020-8554,文章內容豐富且以專業的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。

漏洞概述

漏洞CVE-2020-8554是一個能夠影響多用戶Kubernetes群集的漏洞,如果潛在的攻擊者可以創建或編輯服務和Pod,那么他們就可以攔截來自集群中其他Pod或節點的流量了。

攻擊者如果能夠創建一個ClusterIP服務并設置.spec.externalIPs字段的話,他們就能夠攔截全部到該IP的流量。除此之外,攻擊者還可以修復LoadBalancer服務的狀態,并通過設置status.loadBalancer.ingress.ip來實現類似的效果。通常來說,這種都屬于特權操作,一般不會授予普通用戶去進行操作訪問。

這個漏洞屬于Kubernetes設計缺陷,如果不對用戶層面的運行機制進行修改的話,該漏洞將很難被修復或緩解。

安全按等級

中危

漏洞分析

Kubernetes (簡稱K8s)是是一個開源的,用于管理云平臺中多個主機上的容器化的應用,Kubernetes的目標是讓部署容器化的應用簡單并且高效,Kubernetes提供了應用部署、規劃、更新、維護的一種機制。K8s 最早是由谷歌開發的,目前由Cloud Native Computing Foundation 基金會維護。

研究人員在K8s 中發現一個影響所有K8s版本的設計漏洞,允許租戶創建和更新服務的多租戶集群成為最易受到攻擊的目標。如果攻擊者可以創建或編輯服務或pod,可能就可以攔截集群中來自其他pod的流量。如果用任意的外部IP 來創建一個服務,集群中到該IP 的流量就會被路由到該服務,這樣有權限利用外部IP 來創建服務的攻擊者就可以攔截到任意目標IP的流量。

CVE-2020-8554漏洞是中危漏洞,有創建和編輯服務和pod等基本租戶權限的攻擊者可以在沒有任何用戶交互的情況下遠程利用該漏洞。

由于External IP (外部IP)服務并沒有廣泛應用于多租戶集群中,而且授予租戶LoadBalancer IP 的補丁服務/狀態權限并不推薦,因此該漏洞只影響少量的Kubernetes 部署。

使用Falco檢測CVE-2020-8554

檢測針對該漏洞的漏洞利用嘗試或攻擊活動是防范此類網絡攻擊的關鍵,我們現在可以使用Falco來在主機和容器層面檢測針對該漏洞的而已活動。Falco是CNCF的開源項目,可以用于容器和Kubernetes的運行時威脅檢測。

Falco的好處之一是其功能強大而靈活的規則語言,當Falco發現由一組可定制的規則定義的異常行為時,它將為我們生成并報告安全事件。與此同時,Falco還提供了一些現成的檢測規則可供我們使用。

接下來,我們一起看一看如何使用Falco來檢測何時有人試圖使用外部IP創建集群類型的服務事件。

如前文所述,漏洞CVE-2020-8554是由Kubernetes設計缺陷造成的。它允許具有創建/修復服務權限的用戶將網絡流量重定向到外部IP地址。大多數情況下,當一個只用于內部通信的服務被創建時,一個私有IP地址被分配給這個服務。

如何使用Falco檢測漏洞CVE-2020-8554

由于這是一個私有IP地址,那么Kubernetes集群中就沒有人可以訪問這種服務了。不過,用戶還可以給這個服務配置并綁定一個外部IP地址。

如何使用Falco檢測漏洞CVE-2020-8554

實際上,這種操作行為是符合規范的。但是,惡意攻擊者也可以利用該功能來執行中間人(MitM)攻擊。

Falco規則:檢測綁定外部IP地址的Kubernetes服務

如果你認為自己受到了漏洞CVE-2020-8554的影響,可以使用下列Falco規則來進行漏洞檢測:

- macro: service_with_external_IP

  condition: (jevt.value[/requestObject/spec/externalIPs] exists and jevt.value[/requestObject/spec/externalIPs] != "<NA>")

 

- rule: Create/Update ClusterIP Service with External IP

  desc: Detect an attempt to modify a ClusterIP type service with external IP assigned (CVE-2020-8554)"

  condition:kevt and service and kmodify and jevt.value[/responseObject/spec/type]=ClusterIP and service_with_external_IP

  output: ClusterIP type service created/updated with external IP assigned (user=%ka.user.name service=%ka.target.name ns=%ka.target.namespace operation=%ka.verb ports=%ka.req.service.ports external IP=%jevt.value[/requestObject/spec/externalIPs])

  priority: WARNING

  source: k8s_audit

當有人使用外部IP地址創建或修改一個服務的話,Falco將會輸出下列安全事件:

如何使用Falco檢測漏洞CVE-2020-8554

漏洞CVE-2020-8554是一個由于設計缺陷而無法修復的漏洞,因此我們建議廣大用戶應該使用適當的安全工具來對Kubernetes集群進行安全監控。

上述就是小編為大家分享的如何使用Falco檢測漏洞CVE-2020-8554了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

江永县| 大关县| 东平县| 平泉县| 乳源| 枝江市| 曲沃县| 类乌齐县| 淮南市| 自贡市| 永济市| 洪江市| 墨竹工卡县| 柳河县| 湖南省| 西充县| 墨脱县| 太保市| 鄂伦春自治旗| 怀集县| 荔波县| 佛坪县| 都匀市| 马山县| 句容市| 乌拉特前旗| 霸州市| 蓬溪县| 高要市| 凉城县| 盐池县| 宁明县| 东乡县| 应用必备| 吉隆县| 婺源县| 仪陇县| 河津市| 句容市| 光山县| 合作市|