一 漏洞概述

Kubernetes是美国谷歌（Google）公司的一套开源的Docker容器集群管理系统。该系统为容器化的应用提供资源调度、部署运行、服务发现和扩容缩容等功能。

kube-proxy组件在iptables和ipvs模式下均需要设置内核参数net.ipv4.conf.all.route_localnet=1，从而允许本地回环访问。

攻击者可能通过共享主机网络的容器，或在集群节点上访问同一个二层网络下的相邻节点上绑定监听了本地127.0.0.1端口的TCP/UDP服务，从而获取接口信息。如果服务没有设置必要的安全认证，可能造成信息泄露风险。

二 影响版本

kube-proxy v1.18.0~v1.18.3

kube-proxy v1.17.0~v1.17.6

kube-proxy <= v1.16.10

三 复现过程

无

四 影响范围

根据 ZoomEye 网络空间搜索引擎对关键字 “kube-proxy” 进行搜索，共得到 9,278 条 IP 历史记录，主要分布在美国等国家。

五 修复建议

1.建议相关用户进行升级修复，参考文档：https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster

2.缓解措施：

（1）升级之前，可以通过在节点上手动添加iptables规则来缓解此漏洞。

iptables -I INPUT --dst 127.0.0.0/8 ! --src 127.0.0.0/8 -m conntrack ! --ctstate RELATED,ESTABLISHED,DNAT -j DROP

（2）如果您的集群尚未禁用API Server不安全端口，强烈建议禁用它。将以下标志添加到kubernetes API服务器命令行中。
--insecure-port=0

（3）建议同时更新kubelet、kube-proxy确保已解决该问题。

六 时间线

知道创宇发布漏洞情报时间：2020年7月10日

七 相关链接

Kubernetes：https://kubernetes.io/docs/tasks/administer-cluster/cluster-management/#upgrading-a-cluster

ZoomEye 网络空间搜索引擎：https://www.zoomeye.org/searchResult/report?q=app%3A%22Kubernetes%22