无补丁：所有 Kubernetes 版本均受中间人 0day 漏洞影响

K8s 最初由谷歌开发，目前由云原生计算基金会 (Cloud Native Computing Foundation) 维护的开源系统，旨在对容器化工作负载、服务和应用在主机群集上的部署、规模化和管理进行自动化。自动化通过将 app 容器组织为 pod、节点（物理机或虚拟机）和群集实现，其中多个节点形成一个由主节点管理的群集，该主节点负责协调和群集相关的任务如扩展、调度或更新应用程序。

该漏洞是由Anevia 公司研究员A Etienne Champetier 报告的中危漏洞，编号为 CVE-2020-8554。攻击者只需基本的租户权限（如创建或编辑服务和 pod），就能够远程利用该漏洞，无需任何用户交互。

该漏洞是一个设计缺陷，影响所有的 K8s 版本，其中多租户群集可导致租户创建并更新服务和 pod，使其易受攻击。

在苹果公司负责 K8s 安全工作的软件工程师 Tim Allclair 在安全公告中指出，“如果潜在的攻击者已经能够创建或编辑服务和 pod，则就能够拦截群集中其它 pod（或节点）中的流量。如果通过一个任意的外部 IP 创建服务，则该外部 IP 源自群集中的流量将被路由到该服务。这就导致具有以外部 IP 创建服务的权限的攻击者将流量拦截到任意目标 IP。“

幸运的是，鉴于外部 IP 服务并不广泛应用于多租户群集中，因此该漏洞应该仅影响少量 K8s 部署，因此不建议授予多租户用户 LoadBalancer 补丁服务/状况的权限。

由于 K8s 开发团队尚未发布安全更新解决该漏洞，因此建议管理员限制对易受攻击功能的访问权限，从而缓解该漏洞。用户可使用允许进入 Webhook 容器限制外部 IP 的使用，源代码和部署指南可见：https://github.com/kubernetes-sigs/externalip-webhook。此外，也可通过Open Policy Agent Gatekeeper 策略控制限制外部 IP。

目前并不存在针对LoadBalancer IP 的缓解措施，原因是所推荐的配置并不受影响，但如需限制，则关于外部IP的建议也适用于 LoadBalancer IP。

要检测尝试利用该漏洞的攻击活动，用户必须手动审计使用易受攻击特征的多租户群集中的外部 IP使用情况。Allclair 表示，“外部 IP 服务的使用范围并不广大，因此我们建议手动审计外部 IP 的使用情况。用户不应当修复服务状态，因此如果出现需认证修复服务状态的审计事件，则需引起注意。”