В контроллере NGINX Ingress Kubernetes существуют три неисправленные уязвимости высокой серьезности, которые потенциально позволяют злоумышленникам украсть конфиденциальные учетные данные из кластера.
К этим уязвимостям относятся:
CVE-2022-4886 (оценка CVSS: 8,8) — очистку пути Ingress-nginx можно обойти, чтобы получить учетные данные контроллера Ingress-nginx.
CVE-2023-5043 (оценка CVSS: 7,6) — внедрение аннотаций Ingress-nginx приводит к выполнению произвольной команды.
CVE-2023-5044 (оценка CVSS: 7,6) — внедрение кода через аннотацию nginx.ingress.kubernetes.io/permanent-redirect.
Бен Хиршберг, технический директор и соучредитель платформы безопасности Kubernetes ARMO, сказал об CVE-2023-5043 и CVE-2023-5044: «Эти уязвимости позволяют злоумышленнику контролировать конфигурацию объекта Ingress и тем самым украсть конфиденциальные учетные данные из кластера».
Успешная эксплуатация этих уязвимостей может позволить злоумышленнику внедрить произвольный код в процесс контроллера Ingress и получить несанкционированный доступ к конфиденциальным данным.
информационная безопасность
CVE-2022-4886 вызван отсутствием проверки поля «spec.rules[].http.paths[].path», что позволяет злоумышленнику, имеющему доступ к объекту Ingress, украсть учетные данные API Kubernetes с контроллера Ingress.
Хиршберг отметил: «В объекте Ingress оператор может определить, какой входящий путь HTTP направляется по какому внутреннему пути. Уязвимое приложение не может должным образом проверить достоверность внутреннего пути, который может указывать на внутренний путь, содержащий токен учетной записи службы. . файл, токен — это учетные данные клиента для аутентификации на сервере API».
В отсутствие исправления разработчики программного обеспечения выпустили меры по смягчению последствий, включая включение опции «strict-validate-path-type» и установку флага --enable-annotation-validation, чтобы предотвратить создание объектов Ingress с недопустимыми символами и Установите дополнительные ограничения.
В ARMO заявили, что обновление NGINX до версии 1.19 и добавление конфигурации командной строки «–enable-annotation-validation» может решить проблему CVE-2023-5043 и CVE-2023-5044.
«Хотя они указывают на разные проблемы, все эти уязвимости проистекают из одной и той же основной проблемы», — сказал Хиршберг.
«Тот факт, что контроллеры Ingress предназначены для доступа к секретам TLS и API Kubernetes, делает их рабочими нагрузками с высоким уровнем разрешений. Кроме того, поскольку они обычно являются общедоступными компонентами с выходом в Интернет, они очень уязвимы для проникновения через них. Влияние внешнего трафика на кластер».
Оригинал статьи, автор: Chief Security Division, при перепечатке укажите источник: https://cncso.com/ru/security-vulnerability-found-in-kubernetes-nginx-controller.html
