В Weave Net версий до 2.6.3 злоумышленник, способный запустить процесс от имени root в контейнере, может отвечать на DNS-запросы с хоста и,…

В Weave Net версий до 2.6.3 злоумышленник, способный запустить процесс от имени root в контейнере, может отвечать на DNS-запросы с хоста и, таким образом, вставлять себя в качестве поддельной службы. В кластере с внутренней сетью IPv4, если IPv6 не полностью отключен на хосте (через ipv6.disable=1 в командной строке ядра), он будет либо не настроен, либо настроен на некоторых интерфейсах, но вполне вероятно, что пересылка ipv6 отключена, т.е. /proc/sys/net/ipv6/conf//forwarding == 0. Кроме того, по умолчанию /proc/sys/net/ipv6/conf//accept_ra == 1. Комбинация этих 2 sysctl означает, что хост принимает объявления маршрутизатора и настраивает стек IPv6 с их использованием. Отправляя мошеннические объявления маршрутизатора, злоумышленник может перенастроить хост для перенаправления части или всего трафика IPv6 хоста в контролируемый злоумышленником контейнер. Даже если раньше не было трафика IPv6, если DNS возвращает записи A (IPv4) и AAAA (IPv6), многие HTTP-библиотеки сначала попытаются подключиться через IPv6, а затем вернуться к IPv4, предоставляя злоумышленнику возможность ответить. Если по случайности у вас также есть на хосте уязвимость, такая как RCE в apt в прошлом году (CVE-2019-3462), теперь вы можете повысить привилегии до хоста. Weave Net версии 2.6.3 отключает параметр accept_ra на устройствах veth, которые он создает.