近日,沈阳网络安全协会信息通报机制合作单位新华三集团(H3C)提醒,Istio官方发布了安全公告,公布了Istio存在的敏感信息泄露漏洞,漏洞编号CVE-2021-34824,漏洞威胁等级:严重。
1. 漏洞综述
1.1漏洞背景
Istio 是一个由谷歌、IBM等共同开发的开源服务网格,该网格具有负载均衡、服务间认证、监控等功能,而不需要对服务的代码做任何改动,是开展云网格技术和智能微服务管理的一个很好方式。istio适用于容器或虚拟机环境(特别是k8s)以及兼容异构架构。
1.2 漏洞原理
IstioGateway DestinationRule 可以通过从 Kubernetes 私密内容中加载私钥和证书配置(TLS证书和私钥)。当Istio满足已定义Gateways且DestinationRules具有credentialName 指定的字段以及Istiod的环境参数为PILOT_ENABLE_XDS_CACHE=false的条件时候,攻击者可利用该漏洞存在的错误授权,通过 XDS API 从 Istiod 传送私密文件到网关或工作负载;该行为导致攻击者可以借此窃取到证书和私钥信息,并借此接管 k8s 集群。
2. 影响范围
Istio 1.10.0 - 1.10.1
Istio 1.9.0 - 1.9.5
Istio 1.8.x
3. 处置方法
3.1 官方补丁
升级lstio到最新版本,下载链接https://istio.io/docs/setup/kubernetes/install/kubernetes
如果升级不可行,可通过禁用 Istiod缓存来缓解此漏洞。通过设置 Istiod 环境变量来禁用缓存PILOT_ENABLE_XDS_CACHE=false,该操作可能会对系统和 Istiod 性能产生影响。