Projekti Kubernetes arendatud kontrolleris ingress-nginx on tuvastatud kolm haavatavust, mis võimaldavad vaikekonfiguratsioonis juurdepääsu objekti Ingress sätetele, mis muuhulgas salvestavad mandaate Kubernetese serveritele juurdepääsuks, võimaldades privilegeeritud juurdepääsu klastrisse. Probleemid ilmnevad ainult Kubernetese projekti kontrolleris ingress-nginx ja need ei mõjuta NGINX-i arendajate väljatöötatud kubernetes-ingress-kontrollerit.
Sissepääsukontroller toimib lüüsina ja seda kasutatakse Kubernetesis välisvõrgust juurdepääsu korraldamiseks klastri teenustele. Ingress-nginx kontroller on kõige populaarsem ja kasutab NGINX-i serverit päringute klastrisse edastamiseks, väliste päringute marsruutimiseks ja koormuse tasakaaluks. Projekt Kubernetes pakub põhilisi sisendkontrollereid AWS-i, GCE ja nginxi jaoks, millest viimane ei ole kuidagi seotud F5/NGINX-i hooldatava kubernetes-sisenemise kontrolleriga.
Haavatavused CVE-2023-5043 ja CVE-2023-5044 võimaldavad teil käivitada oma koodi serveris sisendkontrolleri protsessi õigustega, kasutades faile "nginx.ingress.kubernetes.io/configuration-snippet" ja "nginx.ingress .kubernetes” parameetrid, et see asendada .io/permanent-redirect. Muuhulgas võimaldavad saadud juurdepääsuõigused hankida klastri halduse tasemel autentimiseks kasutatava märgi. Haavatavus CVE-2022-4886 võimaldab teil logi_format direktiivi abil failitee kontrollimisest mööda minna.
Esimesed kaks haavatavust ilmuvad ainult ingress-nginxi väljaannetes enne versiooni 1.9.0 ja viimane - enne versiooni 1.8.0. Rünnaku läbiviimiseks peab ründajal olema juurdepääs sisestusobjekti konfiguratsioonile, näiteks mitme rentnikuga Kubernetese klastrites, kus kasutajatele antakse võimalus luua oma nimeruumis objekte.
Allikas: opennet.ru