Carding 4 Carders
Professional
- Messages
- 2,730
- Reaction score
- 1,467
- Points
- 113
В NGINX Ingress controller для Kubernetes были обнаружены три неисправленных уязвимости высокой степени серьезности, которые могут быть использованы злоумышленником для кражи секретных учетных данных из кластера.
Уязвимости заключаются в следующем -
Успешное использование этих брешей может позволить злоумышленнику внедрить произвольный код в процесс ingress controller и получить несанкционированный доступ к конфиденциальным данным.
CVE-2022-4886, являющийся результатом отсутствия проверки в поле "spec.rules[].http.paths[].path", позволяет злоумышленнику, имеющему доступ к объекту Ingress, перекачивать учетные данные API Kubernetes из ingress controller.
"В объекте Ingress оператор может определить, какой входящий HTTP-путь перенаправляется на какой внутренний путь", - отметил Хиршберг. "Уязвимое приложение не проверяет должным образом правильность внутреннего пути и может указывать на внутренний файл, содержащий токен учетной записи службы, который является учетными данными клиента для аутентификации на сервере API".
В отсутствие исправлений разработчики программного обеспечения выпустили исправления, которые включают включение опции "strict-validate-path-type" и установку флага --enable-annotation-validation для предотвращения создания объектов Ingress с недопустимыми символами и применения дополнительных ограничений.
АРМО сказал, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки "--enable-annotation-validation", устраняет CVE-2023-5043 и CVE-2023-5044.
"Хотя они указывают в разных направлениях, все эти уязвимости указывают на одну и ту же основную проблему", - сказал Хиршберг.
"Тот факт, что ingress controllers имеют доступ к секретам TLS и API Kubernetes, делает их рабочими нагрузками с высокой степенью привилегированности. Кроме того, поскольку они часто являются общедоступными компонентами, подключенными к Интернету, они очень уязвимы для внешнего трафика, поступающего через них в кластер. "
Уязвимости заключаются в следующем -
- CVE-2022-4886 (оценка CVSS: 8,8) - Для получения учетных данных контроллера ingress-nginx можно обойти очистку пути Ingress-nginx
- CVE-2023-5043 (оценка CVSS: 7,6) - Внедрение аннотации Ingress-nginx приводит к выполнению произвольной команды
- CVE-2023-5044 (оценка CVSS: 7,6) - Внедрение кода с помощью nginx.ingress.kubernetes.io/permanent-redirect аннотации
Успешное использование этих брешей может позволить злоумышленнику внедрить произвольный код в процесс ingress controller и получить несанкционированный доступ к конфиденциальным данным.
CVE-2022-4886, являющийся результатом отсутствия проверки в поле "spec.rules[].http.paths[].path", позволяет злоумышленнику, имеющему доступ к объекту Ingress, перекачивать учетные данные API Kubernetes из ingress controller.
"В объекте Ingress оператор может определить, какой входящий HTTP-путь перенаправляется на какой внутренний путь", - отметил Хиршберг. "Уязвимое приложение не проверяет должным образом правильность внутреннего пути и может указывать на внутренний файл, содержащий токен учетной записи службы, который является учетными данными клиента для аутентификации на сервере API".
В отсутствие исправлений разработчики программного обеспечения выпустили исправления, которые включают включение опции "strict-validate-path-type" и установку флага --enable-annotation-validation для предотвращения создания объектов Ingress с недопустимыми символами и применения дополнительных ограничений.
АРМО сказал, что обновление NGINX до версии 1.19, наряду с добавлением конфигурации командной строки "--enable-annotation-validation", устраняет CVE-2023-5043 и CVE-2023-5044.
"Хотя они указывают в разных направлениях, все эти уязвимости указывают на одну и ту же основную проблему", - сказал Хиршберг.
"Тот факт, что ingress controllers имеют доступ к секретам TLS и API Kubernetes, делает их рабочими нагрузками с высокой степенью привилегированности. Кроме того, поскольку они часто являются общедоступными компонентами, подключенными к Интернету, они очень уязвимы для внешнего трафика, поступающего через них в кластер. "
