一、漏洞简介¶
1.1 漏洞背景¶
Kubernetes 支持节点代理功能,允许 kube-apiserver 的客户端访问 Kubelet 端点,建立到 Pod 的连接、获取容器日志等。
1.2 漏洞概述(包含 CVE 编号、危害等级、漏洞类型、披露时间等)¶
| 项目 | 内容 |
|---|---|
| 漏洞编号 | CVE-2022-3294 |
| 危害等级 | MEDIUM / 6.6 |
| 漏洞类型 | Node代理验证绕过 |
| 披露时间 | 2023-03-01 |
| 影响组件 | Kubernetes |
- CVE编号: CVE-2022-3294
- 危害等级: 高危 (High)
- CVSS评分: 8.2
- CWE: CWE-20 (Improper Input Validation)
- 漏洞类型: 访问控制绕过
补充核验信息:公开时间:2023-03-01;NVD 评分:6.6(MEDIUM);CWE:CWE-20。
二、影响范围¶
2.1 受影响的版本¶
- < 1.22.16
-
= 1.23.0 且 < 1.23.14
-
= 1.24.0 且 < 1.24.8
-
= 1.25.0 且 < 1.25.4
- 上述范围来自 NVD 配置项;具体分支与发行版适配关系仍应以厂商公告为准。
2.2 不受影响的版本¶
- 1.22.16 及其后续修复分支
- 1.23.14 及其后续修复分支
- 1.24.8 及其后续修复分支
- 1.25.4 及其后续修复分支
- 若存在长期维护分支,请以官方安全公告或发布说明中的修复版本为准。
2.3 触发条件(如特定模块、特定配置、特定运行环境等)¶
- 需要存在可被远程或本地触达的相关接口、服务、插件或默认配置条件;原文与公开资料未给出更精确的统一触发条件。
三、漏洞详情与原理解析¶
3.1 漏洞触发机制¶
kube-apiserver 对 Node 代理地址的验证存在缺陷,攻击者可以绕过该验证,使经过身份验证的 Node 请求被代理到 API Server 的私有网络。
攻击影响: - 访问控制平面网络的受保护端点 - 潜在的信息泄露或横向移动
3.2 源码层面的根因分析(结合源码与补丁对比)¶
问题位于 kube-apiserver 的 Node 代理验证逻辑:
// pkg/registry/core/node/rest/proxy.go
func (r *NodeREST) Proxy(...) {
// 验证逻辑存在缺陷
}
四、漏洞复现(可选)¶
4.1 环境搭建¶
暂无公开可验证复现信息。
4.2 PoC 演示与测试过程¶
暂无公开可验证复现信息。
五、修复建议与缓解措施¶
5.1 官方版本升级建议¶
升级到修复版本的 Kubernetes。
5.2 临时缓解方案(如修改配置文件、关闭相关模块、增加 WAF 规则等)¶
限制 Node 对象的修改权限,仅允许受信用户修改。
六、参考信息 / 参考链接¶
6.1 官方安全通告¶
- https://github.com/kubernetes/kubernetes/issues/113757
6.2 其他技术参考资料¶
- NVD:https://nvd.nist.gov/vuln/detail/CVE-2022-3294
- CVE:https://www.cve.org/CVERecord?id=CVE-2022-3294
- https://github.com/kubernetes/kubernetes/issues/113757
- https://groups.google.com/g/kubernetes-security-announce/c/VyPOxF7CIbA
- https://security.netapp.com/advisory/ntap-20230505-0007/