2024年度クラウドネイティブセキュリティおよび利用状況レポート
Kubernetes上でvSphereをクラウドプロバイダーとして使用し、ロギングレベルを4以上に設定すると、vSphereのユーザー資格情報がcloud-controller-managerのログに漏洩する可能性がある問題(CVE-2020-8563)が発見されました。
この漏洩により、ログにアクセスできる任意の者がvSphereユーザーになりすまし、インフラストラクチャーを危険にさらす可能性があります。
この記事では、問題の理解、影響を受けるKubernetesのコンポーネントの識別、及び緩和策について説明します。
CVE-2020-8563の影響を受ける条件には、vSphere上に構築されたKubernetesクラスター、cloud-controller-managerのログレベルが4以上であること、vSphereの資格情報をKubernetesのシークレットで管理していることが含まれます。
この問題の緩和策として、vSphereのパスワードの更新や、cloud-controller-managerのログレベルの確認が推奨されます。
また、CNCFのインキュベーションプロジェクトであるFalcoを使用して異常なアクティビティを検出することも有効です。
