Уязвимости в ingress-nginx, които позволяват компрометиране на клъстери на Kubernetes

В контролера ingress-nginx, разработен от проекта Kubernetes, са идентифицирани три уязвимости, които позволяват в конфигурацията по подразбиране достъп до настройките на обекта Ingress, който, наред с други неща, съхранява идентификационни данни за достъп до сървърите на Kubernetes, позволявайки привилегирован достъп към клъстера. Проблемите се появяват само в контролера ingress-nginx от проекта Kubernetes и не засягат контролера kubernetes-ingress, разработен от разработчиците на NGINX.

Входящият контролер действа като шлюз и се използва в Kubernetes за организиране на достъп от външната мрежа до услуги в рамките на клъстера. Контролерът ingress-nginx е най-популярният и използва сървъра NGINX за препращане на заявки към клъстера, маршрутизиране на външни заявки и балансиране на натоварването. Проектът Kubernetes предоставя основни входни контролери за AWS, GCE и nginx, последният от които по никакъв начин не е свързан с kubernetes-ingress контролера, поддържан от F5/NGINX.

Уязвимости CVE-2023-5043 и CVE-2023-5044 ви позволяват да изпълните вашия код на сървъра с правата на процеса на входния контролер, като използвате „nginx.ingress.kubernetes.io/configuration-snippet“ и „nginx.ingress“ .kubernetes” параметри, за да го замените .io/permanent-redirect." Освен всичко друго, получените права за достъп ви позволяват да извлечете токен, използван за удостоверяване на ниво управление на клъстера. Уязвимост CVE-2022-4886 ви позволява да заобиколите проверката на пътя на файла с помощта на директивата log_format.

Първите две уязвимости се появяват само в изданията на ingress-nginx преди версия 1.9.0, а последната – преди версия 1.8.0. За да извърши атака, нападателят трябва да има достъп до конфигурацията на входящия обект, например в клъстери на Kubernetes с множество клиенти, в които на потребителите се дава възможност да създават обекти в тяхното пространство от имена.

Източник: opennet.ru