Istio公布2022年安全审计结果

2023-02-12 17:10:46 浏览数 (1)

作者:Craig Box。文章最初在Istio 博客[1]上发布

Istio 的安全审查在 Go 标准库中发现 1 个 CVE

Istio 是平台工程师信任的一个项目,用于在其 Kubernetes 生产环境中实施安全策略。我们非常关注代码的安全性,并维护一个健壮的漏洞管理程序[2]。为了验证我们的工作,我们定期邀请项目的外部审查,我们很高兴地公布我们的第二次安全审计的结果[3]

审计员的评估是,“Istio 是一个维护良好的项目,有一个强有力和可永续的安全方法”。没有发现关键问题;该报告的亮点,是发现了 Go 编程语言中的 1 个漏洞。

我们要感谢 CNCF 对这项工作的资助,这是我们在8 月加入 CNCF[4]后获得的一项福利。这是由OSTIF[5]安排,并由ADA Logics 进行[6]

范围和总体调查结果

Istio 在 2020 年接受了第一次安全评估[7],其数据平面Envoy proxy[8]在 2018 年和 2021 年接受了独立评估[9]。因此,Istio 产品安全工作组和 ADA Logics 决定了以下范围:

  • 创建正式的威胁模型,以指导此次和未来的安全审计
  • 针对安全问题执行手动代码审核
  • 查看针对 2020 年审核中发现的问题的修复
  • 审查和改进 Istio 的模糊测试(fuzzing)套件
  • 对 Istio 进行 SLSA 评估

再一次,在审查中没有发现关键问题。评估发现了 11 个安全问题;2 个高,4 个中,4 个低和 1 个信息性。所有报告的问题都已修复。

“Istio 是一个维护得非常好、非常安全的项目,它有一个可靠的代码库、完善的安全实践和一个响应迅速的产品安全团队。”——ADA Logics

除了上述意见之外,审计员还注意到,Istio 在处理安全问题时遵循了高水平的行业标准。特别是,他们强调:

  • Istio 产品安全工作组对安全披露做出快速响应
  • 关于项目安全的文档是全面的、精心编写的和保持更新
  • 安全漏洞披露遵循行业标准,安全公告清晰而详细
  • 安全修复包括回归测试

修复和学习

Go 的请求走私漏洞

审计人员发现了一种情况,Istio 可以使用 HTTP/2 Over Cleartext(h2c)接受流量,这是一种使用 HTTP/1.1 建立未加密连接,然后升级到 HTTP/2 的方法。h2c[10]连接的 Go 库将整个请求读入内存,如果你希望避免这种情况,请求应该包装在 MaxBytesHandler 中。

在修复这个 bug 时,Istio TOC 成员 John Howard 注意到推荐的修复引入了一个请求走私漏洞[11]。Go 团队因此发布了CVE-2022-41721[12]——这是此次审计发现的唯一漏洞!

Istio 已经修改为完全禁用 h2c 升级支持。

文件提取的改进

发现的最常见问题与 Istio 通过网络获取文件有关(例如,Istio 操作器安装 Helm chart 或 WebAssembly 模块下载器):

  • 特制的 Helm chart 可耗尽磁盘空间(#1)或覆盖操作器 pod 中的其它文件(#2)
  • 文件处理程序在错误的情况下没有关闭,并且可能被耗尽(#3)
  • 特制的文件可能会耗尽内存(#4 和#5)

要执行这些代码路径,攻击者需要足够的权限来指定 Helm chart 或 WebAssembly 模块的 URL。有了这样的访问权限,他们就不需要利用漏洞了:他们已经可以将任意 chart 安装到集群中,或者将任意 WebAssembly 模块加载到代理服务器的内存中。

审计人员和维护人员都注意到,不建议使用 Operator 作为安装方法,因为这需要在集群中运行高权限的控制器。

其它问题

发现的其余问题是:

  • 在一些测试代码中,或者在控制平面组件通过本地主机连接到另一个组件的情况下,没有实施最小限度的 TLS 设置(#6)
  • 失败的操作可能不会返回错误代码(#7)
  • 正在使用一个弃用的库(#8)
  • 用于复制文件的一个库中有TOC/TOU[13]竞争情况(#9)
  • 如果在调试模式下运行,用户可能会耗尽安全令牌服务的内存(#11)

详情请参阅报告全文。

回顾 2020 年报告

Istio 在首次安全评估中报告的所有 18 个问题都已得到解决。

模糊测试

OSS-Fuzz 项目[14]帮助开源项目执行免费的模糊测试[15]。Istio 集成到 OSS-Fuzz 中,有 63 个 fuzzer 持续运行:这种支持是由 ADA Logics 和 Istio 团队在 2021 年底构建[16]

“[我们]通过优先考虑 Istio 的安全关键部分来开始模糊测试评估。我们发现其中许多都有令人印象深刻的测试覆盖率,几乎没有改进的余地。”——ADA Logics

评估指出“Istio 很大程度上受益于在 OSS-fuzz 上持续运行的大量模糊测试套件”,并确定了安全关键代码中的几个 API 将受益于进一步的模糊测试,这项工作带来了六个新的 fuzzer;到审计结束时,新的测试已经运行了超过 30 亿次。

SLSA

SLSA[17](发音:“salsa”,Supply chain Levels for Software Artifacts,软件工件的供应链级别)是一个标准和控制的检查列表,用于防止篡改、提高完整性,以及保护软件包和基础设施。它组织成一系列级别,提供越来越多的完整性保证。

Istio 目前不生成起源工件,所以它不满足任何 SLSA 级别的要求。达到 SLSA 1 级的工作目前正在进行中[18]。如果你想参与,请加入Istio Slack[19],并联系我们的测试和发布工作组[20]

参与

如果你想参与 Istio 产品安全,或者成为维护者,我们欢迎你的加入!加入我们的公开会议[21],提出问题或了解我们为保持 Istio 安全所做的工作。

关于 Istio 安全审计的其它博客:

  • ADA Logics[22]
  • OSTIF[23]

参考资料

[1]

Istio 博客: https://istio.io/latest/blog/2023/ada-logics-security-assessment/

[2]

漏洞管理程序: https://istio.io/latest/docs/releases/security-vulnerabilities/

[3]

第二次安全审计的结果: https://istio.io/latest/blog/2023/ada-logics-security-assessment/Istio audit report - ADA Logics - 2023-01-30 - v1.0.pdf

[4]

8 月加入 CNCF: https://www.cncf.io/blog/2022/09/28/istio-sails-into-the-cloud-native-computing-foundation/

[5]

OSTIF: https://ostif.org/

[6]

ADA Logics 进行: https://adalogics.com/blog/istio-security-audit

[7]

Istio 在 2020 年接受了第一次安全评估: https://istio.io/latest/blog/2021/ncc-security-assessment/

[8]

Envoy proxy: https://envoyproxy.io/

[9]

在 2018 年和 2021 年接受了独立评估: https://github.com/envoyproxy/envoy#security-audit

[10]

h2c: https://pkg.go.dev/golang.org/x/net/http2/h2c

[11]

请求走私漏洞: https://portswigger.net/web-security/request-smuggling

[12]

CVE-2022-41721: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41721

[13]

TOC/TOU: https://en.wikipedia.org/wiki/Time-of-check_to_time-of-use

[14]

OSS-Fuzz 项目: https://google.github.io/oss-fuzz/

[15]

模糊测试: https://en.wikipedia.org/wiki/Fuzzing

[16]

由 ADA Logics 和 Istio 团队在 2021 年底构建: https://adalogics.com/blog/fuzzing-istio-cve-CVE-2022-23635

[17]

SLSA: https://slsa.dev/

[18]

达到 SLSA 1 级的工作目前正在进行中: https://github.com/istio/istio/issues/42517

[19]

Istio Slack: https://slack.istio.io/

[20]

测试和发布工作组: https://istio.slack.com/archives/C6FCV6WN4

[21]

加入我们的公开会议: https://github.com/istio/community/blob/master/WORKING-GROUPS.md

[22]

ADA Logics: https://adalogics.com/blog/istio-security-audit

[23]

OSTIF: https://ostif.org/the-audit-of-istio-is-complete

0 人点赞