漏洞通告｜CVE-2020-8555 kube-controller SSRF漏洞

发布时间：

2023-07-07 15:22

01漏洞简介

存在Kube-Controller-Controller-Manager中的服务器端请求伪造（ssrf）漏洞，允许某些授权用户从主机的主机网络中的未受保护的端点（例如链接本地或环回服务） leaked 高达500字节的任意信息。具有权限的攻击者，创建StorageClass可能导致Kube-Controller-Manager发布攻击者控制请求。

02 影响范围

1.15.11< kubernetes

1.16.0< =kubernetes <1.16.9
1.17.0<= kubernetes <1.17.5

03 漏洞原理

在多租户集群中存在着这样一种场景，用户在自己的空间内创建持久卷。用户发送指令大概的流程是这个样子的：

创建一个新的PVC并与Storage Class关联时，预配步骤由Kubernetes Controller Manager 管理，如图：

这里步骤三，请求创建卷的请求会由 Kubernetes Controller Manager 发出（内部的网络），这就可以利用这个工作流想方法来访问云内部的一些资源，这里可以看GlusterFS。在GlusterFS配置中有一项是Resturl，并且在卷创建的时候期间发出的第一个 HTTP 请求，/volumes 被附加到 Resturl 参数中用户提供的 URL 的末尾。为了删除此不需要的路径的末尾，我们在 Resturl 参数中使用了 # 技巧。Resturl 内容为攻击者机器时，可以通过NC 来监听看到返回，如果为类似于qq.com这种，需要从Kubectl Describe中查看：

源码地址：

https://github.com/heketi/heketi/blob/6a1ff1a6176e6566894d30ecc714d0643301558d/client/api/go-client/volume.go#L34

Resturl：制备 Gluster 卷的需求的 Gluster REST 服务/Heketi 服务 URL。通用格式应该是 IPaddress:Port，这是GlusterFS 动态制备器的必需参数。如果Heketi 服务在 OpenShift/Kubernetes 中安装并暴露为可路由服务，则可以使用类似于 http://heketi-storage-project.cloudapps.mystorage.com 的格式，其中 FQDN 是可解析的 Heketi 服务网址。

该漏洞还有其他几种利用方式：

1) 302重定向，使得Http方法不仅限于Post

通过设置攻击者服务器返回302 Http Retcode可以将Post 请求转换为Get 请求

Kubernetes Controller Manager 在步骤三发出Post请求，通过SC使用http://attack.com/redirect.php 作为resturl参数，http://attack.com/redirect.php 使用302返回代码进行响应，并使用http://xxxxxxxx, golang 默认遵循将302请求返回的代码从Post 转换为Get，然后使用Get 请求目标资源。

2) 自动化扫描和发现内部的资源先确定了 Kubernetes 组件的默认侦听端口（8443、10250、10251 等），然后自动执行扫描.

3) 利用Http Crlf + 走私 Poc来制作自定义的Http请求并检索Kube控制器日志中的数据泄露（利用难度大）

05 漏洞复现

1、安装存在漏洞版本的Kubernetes集群

2、创建Yaml文件，Yaml文件内容：