安全企业Mandiant披露Azure Kubernetes Services有漏洞,并命名为WireServing,影响在网络组态使用“Azure CNI”、网络政策采用“Azure”配置的Kubernetes(K8s)集群,攻击者若在这类集群正在运行的节点执行命令,就有机会下载集群节点的组态配置,从而取得TLS引导凭证(Token),并执行TLS引导攻击(TLS Bootstrap Attack),进一步读取集群里所有的机密敏感数据。微软接获研究人员的通报,已从问题根源进行处置。
而对于这项漏洞带来的影响,攻击者一旦得到能够访问的Azure Kubernetes服务集群权限,就有机会借此进行权限提升,并访问集群服务使用的帐密数据。攻击者不仅能取得敏感数据,还有可能造成数据外流、财务损失、受害组织的信誉受损等影响。
研究人员披露的漏洞利用攻击手法,是利用Azure并未记载于文件的内部组件WireServer,虽然微软在WALinuxAgent的说明文件提及这项组件,但仅指出用途是处理Linux虚拟机与Azure Fabric的互动。
他们对这项组件发出请求,取得用来保护组态的密钥wireserver.key,并通过另一项名为HostGAPlugin的组件取得JSON文件,并以该密钥解开特定的脚本,从而取得一系列的机密敏感数据,其中包含环境变量,有了这些数据,攻击者就能进行权限提升。
这些环境变量可让攻击者取得节点的通用TLS密钥及凭证、K8s的CA凭证,以及TLS引导凭证。研究人员指出,虽然这种渠道取得的账号在AKS仅具备最小的K8s权限,但这种账号能列出集群里的所有节点。
另一方面,上述提及的TLS引导凭证不仅能用于TLS引导攻击,还能得到工作酬载使用的机密访问权限。
