Fluid社区披露了安全漏洞CVE-2023-30840。攻击者在获得fluid-csi-plugin的节点root权限的前提下,可以对Kubernetes集群进行提权攻击。
CVE-2023-30840漏洞被评估为中危漏洞,CVSS的评分为4.0。关于该漏洞的详细信息,请参见漏洞CVE-2023-30840。
影响范围
集群的ack-fluid组件版本为v0.7.0~v0.9.6,将会在该漏洞的影响范围内。
漏洞影响
如果集群中某个节点同时满足以下条件,则该漏洞会对该集群造成影响,即攻击者在获得该节点root权限的前提下,可以在未经授权的情况下获得更高的集群访问权限。
攻击者控制某个Kubernetes工作节点,并获得该节点的root权限和该集群所有Kubernetes节点信息列表。
在该节点上运行v0.7.0~v0.9.6版本的fluid-csi-plugin组件。
解决方案
可通过将ack-fluid组件升级至0.9.7及以上版本来修复该漏洞。关于如何升级ack-fluid组件,请参见升级组件。关于ack-fluid组件的更多信息,请参见ack-fluid。
防范措施
避免使用外网提供的访问ECS的方式,并确保集群中运行应用的容器镜像来源是可信的。
严格控制访问集群中节点的权限,确保只有可信用户才能登录Kubernetes节点。
可以通过使用阿里云的云盾安全中心,监测ECS的不正常访问行为。