في وحدة التحكم ingress-nginx التي طورها مشروع Kubernetes، تم تحديد ثلاث ثغرات أمنية تسمح، في التكوين الافتراضي، بالوصول إلى إعدادات كائن Ingress، الذي، من بين أشياء أخرى، يخزن بيانات الاعتماد للوصول إلى خوادم Kubernetes، مما يسمح بالوصول المميز إلى الكتلة. تظهر المشاكل فقط في وحدة التحكم ingress-nginx من مشروع Kubernetes ولا تؤثر على وحدة التحكم kubernetes-ingress التي طورها مطورو NGINX.
تعمل وحدة التحكم في الدخول كبوابة ويتم استخدامها في Kubernetes لتنظيم الوصول من الشبكة الخارجية إلى الخدمات داخل المجموعة. تعد وحدة التحكم ingress-nginx هي الأكثر شيوعًا وتستخدم خادم NGINX لإعادة توجيه الطلبات إلى المجموعة وتوجيه الطلبات الخارجية وتوازن التحميل. يوفر مشروع Kubernetes وحدات تحكم الدخول الأساسية لـ AWS وGCE وnginx، ولا يرتبط الأخير بأي حال من الأحوال بوحدة التحكم في الدخول kubernetes التي تحتفظ بها F5/NGINX.
تسمح لك الثغرات الأمنية CVE-2023-5043 وCVE-2023-5044 بتنفيذ التعليمات البرمجية الخاصة بك على الخادم مع حقوق عملية التحكم في الدخول، باستخدام "nginx.ingres.kubernetes.io/configuration-snippet" و"nginx.ingres" معلمات .kubernetes" لاستبدالها بـ .io/permanent-redirect." من بين أمور أخرى، تسمح لك حقوق الوصول التي تم الحصول عليها باسترداد الرمز المميز المستخدم للمصادقة على مستوى إدارة المجموعة. تسمح لك الثغرة الأمنية CVE-2022-4886 بتجاوز التحقق من مسار الملف باستخدام التوجيه log_format.
تظهر أول ثغرتين فقط في إصدارات ingress-nginx قبل الإصدار 1.9.0، والثغرة الأخيرة - قبل الإصدار 1.8.0. لتنفيذ هجوم، يجب أن يكون لدى المهاجم حق الوصول إلى تكوين كائن الدخول، على سبيل المثال، في مجموعات Kubernetes متعددة المستأجرين، حيث يتم منح المستخدمين القدرة على إنشاء كائنات في مساحة الاسم الخاصة بهم.
المصدر: opennet.ru