Drei ungepatchte, hochriskante Sicherheitslücken im NGINX Ingress Controller für Kubernetes könnten es einem Angreifer ermöglichen, vertrauliche Anmeldedaten aus einem Cluster zu stehlen.
Zu diesen Schwachstellen gehören:
CVE-2022-4886 (CVSS-Score: 8.8) - Die Pfadbereinigung von Ingress-nginx kann umgangen werden, um Anmeldedaten für den Ingress-nginx-Controller zu erhalten
CVE-2023-5043 (CVSS-Score: 7.6) - Ingress-nginx-Anmerkungsinjektion führt zu beliebiger Befehlsausführung
CVE-2023-5044 (CVSS-Score: 7.6) - Code-Einspeisung über nginx.ingress.kubernetes.io/permanent-redirect-Anmerkung
Zu CVE-2023-5043 und CVE-2023-5044 sagte Ben Hirschberg, CTO und Mitbegründer von ARMO, einer Kubernetes-Sicherheitsplattform: "Diese Schwachstellen ermöglichen es einem Angreifer, die Kontrolle über Ingress-Objektkonfigurationen zu übernehmen, um vertrauliche Anmeldeinformationen aus dem Cluster zu stehlen. "
Eine erfolgreiche Ausnutzung dieser Schwachstellen könnte es einem Angreifer ermöglichen, beliebigen Code in den Prozess des Ingress-Controllers einzuschleusen und unbefugten Zugriff auf sensible Daten zu erhalten.
Netzwerksicherheit
CVE-2022-4886 ist auf eine fehlende Validierung im Feld "spec.rules[].http.paths[].path" zurückzuführen, die es einem Angreifer mit Zugriff auf Ingress-Objekte ermöglicht, Kubernetes-API Anmeldeinformationen zu stehlen.
Hirschberg merkt an: "Im Ingress-Objekt kann der Betreiber festlegen, welcher eingehende HTTP-Pfad an welchen internen Pfad weitergeleitet wird. Anfällige Anwendungen können die Gültigkeit des internen Pfads nicht ordnungsgemäß überprüfen, da dieser auf eine interne Datei verweisen kann, die das Dienstkonto-Token enthält, das die Client-Anmeldeinformationen für die Authentifizierung gegenüber dem API-Server darstellt.
In Ermangelung eines Fixes haben die Maintainer der Software Entschärfungsmaßnahmen veröffentlicht, darunter die Aktivierung der Option "strict-validate-path-type" und das Setzen des Flags -enable-annotation-validation, um die Erstellung von Ingress-Objekten mit ungültigen Zeichen zu verhindern und zusätzliche Beschränkungen durchzusetzen. um die Erstellung von Ingress-Objekten mit ungültigen Zeichen zu verhindern und zusätzliche Beschränkungen zu erzwingen.
ARMO sagte, dass die Aktualisierung von NGINX auf Version 1.19 und das Hinzufügen der Befehlszeilenkonfiguration "-enable-annotation-validation" CVE-2023-5043 und CVE-2023-5044 beheben würde. 5044.
Hirschberg sagte: "Obwohl sie auf unterschiedliche Probleme hinweisen, haben alle diese Schwachstellen dieselben Ursachen."
"Die Tatsache, dass Ingress-Controller für den Zugriff auf TLS-Geheimnisse und Kubernetes-APIs ausgelegt sind, macht sie zu Workloads mit hohem Privilegienumfang. Da es sich zudem in der Regel um öffentliche, dem Internet zugewandte Komponenten handelt, sind sie sehr anfällig für externen Datenverkehr, der über sie in den Cluster gelangt."
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/sicherheitsschwachstelle-in-kubernetes-nginx-controller-html-gefunden