报告编号:B6-2021-062804
报告来源:360CERT
报告作者:360CERT
更新日期:2021-06-28
漏洞简述
2021年06月28日,360CERT监测发现Istio发布了SECURITY-2021-007的风险通告,漏洞编号为CVE-2021-34824,漏洞等级:严重,漏洞评分:9.1。
Istio是运行在 k8s 容器服务上的一套软件。Istio 是一种服务网格,是一种现代化的服务网络层,它提供了一种透明、独立于语言的方法,以灵活且轻松地实现应用网络功能自动化。
Istio 包含一个可远程利用漏洞,使用Istio的k8s集群内的机器有可能被攻击者越权访问到TLS证书和密钥,并借此接管k8s集群。
对此,360CERT建议广大用户及时将Istio升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 |
等级 |
| 威胁等级 |
严重 |
| 影响面 |
一般 |
| 攻击者价值 |
很高 |
| 利用难度 |
高 |
| 360CERT评分 |
9.1 |
漏洞详情
CVE-2021-34824: Istio敏感信息泄漏漏洞
CVE: CVE-2021-34824
组件: Istio
漏洞类型: 敏感信息泄漏
影响: 敏感信息泄漏,接管K8S容器集群
简述: Istio DestinationRule可以通过从Kubernetes私密内容(secret-content)加载私钥和证书配置。对于 Istio 1.8 及更高版本,私密文件通过 XDS API 从 Istiod 传送到网关或工作负载。这就导致攻击者可以借此窃取证书和私钥信息,并借此接管k8s集群
影响版本
以下影响版本,该漏洞的利用还需要满足以下条件
1. 已定义Gateways
2. DestinationRules具有credentialName指定的字段
3. Istiod 的环境参数 PILOT_ENABLE_XDS_CACHE=false
| 组件 |
影响版本 |
安全版本 |
| Istio:Istio |
1.8.* |
1.9.61.10.2 |
| Istio:Istio |
1.9.0~1.9.5 |
1.9.6/1.10.2 |
| Istio:Istio |
1.10.0~1.10.1 |
1.10.2 |
修复建议
通用修补建议
根据影响版本中的信息,排查并升级到安全版本
临时修补建议
可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量PILOT_ENABLE_XDS_CACHE=false禁用缓存。k8s系统和 Istiod 性能可能会受到影响,因为这会禁用 XDS 缓存。
时间线
2021-06-24 Istio发布通告
2021-06-28 360CERT发布通告
参考链接
1、 ISTIO-SECURITY-2021-007
https://istio.io/latest/news/security/istio-security-2021-007/
