Istio公布2022年安全审计结果
作者:Craig Box。文章最初在Istio 博客[1]上发布
Istio 的安全审查在 Go 标准库中发现 1 个 CVE
Istio 是平台工程师信任的一个项目,用于在其 Kubernetes 生产环境中实施安全策略。我们非常关注代码的安全性,并维护一个健壮的漏洞管理程序[2]。为了验证我们的工作,我们定期邀请项目的外部审查,我们很高兴地公布我们的第二次安全审计的结果[3]。
审计员的评估是,“Istio 是一个维护良好的项目,有一个强有力和可永续的安全方法”。没有发现关键问题;该报告的亮点,是发现了 Go 编程语言中的 1 个漏洞。
我们要感谢 CNCF 对这项工作的资助,这是我们在8 月加入 CNCF[4]后获得的一项福利。这是由OSTIF[5]安排,并由ADA Logics 进行[6]。
范围和总体调查结果
Istio 在 2020 年接受了第一次安全评估[7],其数据平面Envoy proxy[8]在 2018 年和 2021 年接受了独立评估[9]。因此,Istio 产品安全工作组和 ADA Logics 决定了以下范围:
- 创建正式的威胁模型,以指导此次和未来的安全审计
- 针对安全问题执行手动代码审核
- 查看针对 2020 年审核中发现的问题的修复
- 审查和改进 Istio 的模糊测试(fuzzing)套件
- 对 Istio 进行 SLSA 评估
再一次,在审查中没有发现关键问题。评估发现了 11 个安全问题;2 个高,4 个中,4 个低和 1 个信息性。所有报告的问题都已修复。
“Istio 是一个维护得非常好、非常安全的项目,它有一个可靠的代码库、完善的安全实践和一个响应迅速的产品安全团队。”——ADA Logics
除了上述意见之外,审计员还注意到,Istio 在处理安全问题时遵循了高水平的行业标准。特别是,他们强调:
- Istio 产品安全工作组对安全披露做出快速响应
- 关于项目安全的文档是全面的、精心编写的和保持更新
- 安全漏洞披露遵循行业标准,安全公告清晰而详细
- 安全修复包括回归测试
修复和学习
Go 的请求走私漏洞
审计人员发现了一种情况,Istio 可以使用 HTTP/2 Over Cleartext(h2c)接受流量,这是一种使用 HTTP/1.1 建立未加密连接,然后升级到 HTTP/2 的方法。h2c[10]连接的 Go 库将整个请求读入内存,如果你希望避免这种情况,请求应该包装在 MaxBytesHandler 中。
在修复这个 bug 时,Istio TOC 成员 John Howard 注意到推荐的修复引入了一个请求走私漏洞[11]。Go 团队因此发布了CVE-2022-41721[12]——这是此次审计发现的唯一漏洞!
Istio 已经修改为完全禁用 h2c 升级支持。
文件提取的改进
发现的最常见问题与 Istio 通过网络获取文件有关(例如,Istio 操作器安装 Helm chart 或 WebAssembly 模块下载器):
- 特制的 Helm chart 可耗尽磁盘空间(#1)或覆盖操作器 pod 中的其它文件(#2)
- 文件处理程序在错误的情况下没有关闭,并且可能被耗尽(#3)
- 特制的文件可能会耗尽内存(#4 和#5)
要执行这些代码路径,攻击者需要足够的权限来指定 Helm chart 或 WebAssembly 模块的 URL。有了这样的访问权限,他们就不需要利用漏洞了:他们已经可以将任意 chart 安装到集群中,或者将任意 WebAssembly 模块加载到代理服务器的内存中。
审计人员和维护人员都注意到,不建议使用 Operator 作为安装方法,因为这需要在集群中运行高权限的控制器。
其它问题
发现的其余问题是:
- 在一些测试代码中,或者在控制平面组件通过本地主机连接到另一个组件的情况下,没有实施最小限度的 TLS 设置(#6)
- 失败的操作可能不会返回错误代码(#7)
- 正在使用一个弃用的库(#8)
- 用于复制文件的一个库中有TOC/TOU[13]竞争情况(#9)
- 如果在调试模式下运行,用户可能会耗尽安全令牌服务的内存(#11)
详情请参阅报告全文。
回顾 2020 年报告
Istio 在首次安全评估中报告的所有 18 个问题都已得到解决。
模糊测试
OSS-Fuzz 项目[14]帮助开源项目执行免费的模糊测试[15]。Istio 集成到 OSS-Fuzz 中,有 63 个 fuzzer 持续运行:这种支持是由 ADA Logics 和 Istio 团队在 2021 年底构建[16]。
“[我们]通过优先考虑 Istio 的安全关键部分来开始模糊测试评估。我们发现其中许多都有令人印象深刻的测试覆盖率,几乎没有改进的余地。”——ADA Logics
评估指出“Istio 很大程度上受益于在 OSS-fuzz 上持续运行的大量模糊测试套件”,并确定了安全关键代码中的几个 API 将受益于进一步的模糊测试,这项工作带来了六个新的 fuzzer;到审计结束时,新的测试已经运行了超过 30 亿次。
SLSA
SLSA[17](发音:“salsa”,Supply chain Levels for Software Artifacts,软件工件的供应链级别)是一个标准和控制的检查列表,用于防止篡改、提高完整性,以及保护软件包和基础设施。它组织成一系列级别,提供越来越多的完整性保证。
Istio 目前不生成起源工件,所以它不满足任何 SLSA 级别的要求。达到 SLSA 1 级的工作目前正在进行中[18]。如果你想参与,请加入Istio Slack[19],并联系我们的测试和发布工作组[20]。
参与
如果你想参与 Istio 产品安全,或者成为维护者,我们欢迎你的加入!加入我们的公开会议[21],提出问题或了解我们为保持 Istio 安全所做的工作。
关于 Istio 安全审计的其它博客:
- ADA Logics[22]
- OSTIF[23]
参考资料
[1]
Istio 博客: https://istio.io/latest/blog/2023/ada-logics-security-assessment/
[2]
漏洞管理程序: https://istio.io/latest/docs/releases/security-vulnerabilities/
[3]
第二次安全审计的结果: https://istio.io/latest/blog/2023/ada-logics-security-assessment/Istio%20audit%20report%20-%20ADA%20Logics%20-%202023-01-30%20-%20v1.0.pdf
[4]
8 月加入 CNCF: https://www.cncf.io/blog/2022/09/28/istio-sails-into-the-cloud-native-computing-foundation/
[5]
OSTIF: https://ostif.org/
[6]
ADA Logics 进行: https://adalogics.com/blog/istio-security-audit
[7]
Istio 在 2020 年接受了第一次安全评估: https://istio.io/latest/blog/2021/ncc-security-assessment/
[8]
Envoy proxy: https://envoyproxy.io/
[9]
在 2018 年和 2021 年接受了独立评估: https://github.com/envoyproxy/envoy#security-audit
[10]
h2c: https://pkg.go.dev/golang.org/x/net/http2/h2c
[11]
请求走私漏洞: https://portswigger.net/web-security/request-smuggling
[12]
CVE-2022-41721: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-41721
[13]
TOC/TOU: https://en.wikipedia.org/wiki/Time-of-check_to_time-of-use
[14]
OSS-Fuzz 项目: https://google.github.io/oss-fuzz/
[15]
模糊测试: https://en.wikipedia.org/wiki/Fuzzing
[16]
由 ADA Logics 和 Istio 团队在 2021 年底构建: https://adalogics.com/blog/fuzzing-istio-cve-CVE-2022-23635
[17]
SLSA: https://slsa.dev/
[18]
达到 SLSA 1 级的工作目前正在进行中: https://github.com/istio/istio/issues/42517
[19]
Istio Slack: https://slack.istio.io/
[20]
测试和发布工作组: https://istio.slack.com/archives/C6FCV6WN4
[21]
加入我们的公开会议: https://github.com/istio/community/blob/master/WORKING-GROUPS.md
[22]
ADA Logics: https://adalogics.com/blog/istio-security-audit
[23]
OSTIF: https://ostif.org/the-audit-of-istio-is-complete