Итно: откриени нови безбедносни пропусти во NGINX Ingress контролерот за Kubernetes

 

Во контролорот NGINX Ingress за Kubernetes се откриени три незакрпени безбедносни пропусти со висока сериозност, кои би можеле да бидат вооружени од актер за закана за да украдат тајни акредитиви од кластерот.

Ранливостите се како што следува –

• CVE-2022-4886(CVSS резултат: 8,8) – Дезинфекцијата на патеката за влез-nginx може да се заобиколи за да се добијат ингеренциите на контролерот ingress-nginx
• CVE-2023-5043(CVSS резултат: 7,6) – Вбризгување-nginx прибелешка предизвикува произволно извршување наредба
• CVE-2023-5044(CVSS резултат: 7,6) – Вбризгување код преку nginx.ingress.kubernetes.io/permanent-redirect annotation

„Овие пропусти му овозможуваат на напаѓачот кој може да ја контролира конфигурацијата на објектот Ingress да украде тајни ингеренции од кластерот“, рече Бен Хиршберг, CTO и ко-основач на безбедносната платформа Kubernetes ARMO, за CVE-2023-5043 и CVE-2023- . 5044.

Успешното искористување на недостатоците може да му овозможи на противникот да внесе произволен код во процесот на контролорот за влез и да добие неовластен пристап до чувствителни податоци.

CVE-2022-4886, како резултат на недостаток на валидација во полето „spec.rules[].http.paths[].path“, му дозволува на напаѓачот со пристап до објектот Ingress да сифонира акредитиви на Kubernetes API од контролорот за влез .

„Во објектот Ingress , операторот може да дефинира која дојдовна HTTP патека е насочена кон која внатрешна патека“, забележа Хиршберг. „Ранливата апликација не ја проверува правилно валидноста на внатрешната патека и може да укаже на внатрешната датотека која го содржи токенот на сметката за услугата што е акредитив на клиентот за автентикација против серверот API.

Во отсуство на поправки, одржувачите на софтверот објавија ублажувања кои вклучуваат овозможување на опцијата „strict-validate-path-type“ и поставување на знаменцето –enable-annotation-validation за да се спречи создавањето на Ingress објекти со невалидни знаци и спроведе дополнителни ограничувања.

ARMO рече дека ажурирањето на NGINX на верзијата 1.19, заедно со додавањето на конфигурацијата на командната линија „–enable-annotation-validation“, ги решава CVE-2023-5043 и CVE-2023-5044.

„Иако тие укажуваат на различни насоки, сите овие ранливости укажуваат на истиот основен проблем“, рече Хиршберг.

„Фактот дека контролорите за влез имаат пристап до тајните на TLS и Kubernetes API по дизајн, ги прави оптоварувања на работа со голем опсег на привилегии. Дополнително, бидејќи тие се често јавни компоненти што се соочуваат со интернет, тие се многу ранливи на надворешниот сообраќај што влегува во кластерот преку нив”

 

Извор:  (thehackernews.com)