报告编号：B6-2021-062804

报告来源：360CERT

报告作者：360CERT

更新日期：2021-06-28

漏洞简述

2021年06月28日，360CERT监测发现Istio发布了SECURITY-2021-007的风险通告，漏洞编号为CVE-2021-34824，漏洞等级：严重，漏洞评分：9.1。

Istio是运行在 k8s 容器服务上的一套软件。Istio 是一种服务网格，是一种现代化的服务网络层，它提供了一种透明、独立于语言的方法，以灵活且轻松地实现应用网络功能自动化。

Istio 包含一个可远程利用漏洞，使用Istio的k8s集群内的机器有可能被攻击者越权访问到TLS证书和密钥，并借此接管k8s集群。

对此，360CERT建议广大用户及时将Istio升级到最新版本。与此同时，请做好资产自查以及预防工作，以免遭受黑客攻击。

风险等级

360CERT对该漏洞的评定结果如下

评定方式	等级
威胁等级	严重
影响面	一般
攻击者价值	很高
利用难度	高
360CERT评分	9.1

漏洞详情

CVE-2021-34824: Istio敏感信息泄漏漏洞

CVE: CVE-2021-34824

组件: Istio

漏洞类型: 敏感信息泄漏

影响: 敏感信息泄漏，接管K8S容器集群

简述: Istio DestinationRule可以通过从Kubernetes私密内容(secret-content)加载私钥和证书配置。对于 Istio 1.8 及更高版本，私密文件通过 XDS API 从 Istiod 传送到网关或工作负载。这就导致攻击者可以借此窃取证书和私钥信息，并借此接管k8s集群

影响版本

以下影响版本，该漏洞的利用还需要满足以下条件

1. 已定义Gateways

2. DestinationRules具有credentialName指定的字段

3. Istiod 的环境参数 PILOT_ENABLE_XDS_CACHE=false

组件	影响版本	安全版本
Istio:Istio	1.8.*	1.9.61.10.2
Istio:Istio	1.9.0~1.9.5	1.9.6/1.10.2
Istio:Istio	1.10.0~1.10.1	1.10.2

修复建议

通用修补建议

根据影响版本中的信息，排查并升级到安全版本

临时修补建议

可以通过禁用 Istiod 缓存来缓解此漏洞。通过设置 Istiod 环境变量PILOT_ENABLE_XDS_CACHE=false禁用缓存。k8s系统和 Istiod 性能可能会受到影响，因为这会禁用 XDS 缓存。

时间线

2021-06-24 Istio发布通告

2021-06-28 360CERT发布通告

参考链接

1、 ISTIO-SECURITY-2021-007

https://istio.io/latest/news/security/istio-security-2021-007/