Kubernetes նախագծի կողմից մշակված ingress-nginx կարգավորիչում հայտնաբերվել են երեք խոցելիություններ, որոնք լռելյայն կազմաձևում թույլ են տալիս մուտք գործել Ingress օբյեկտի կարգավորումները, որոնք, ի թիվս այլ բաների, պահում են հավատարմագրերը Kubernetes սերվերներ մուտք գործելու համար՝ թույլ տալով արտոնյալ մուտք: դեպի կլաստերի. Խնդիրները հայտնվում են միայն Kubernetes նախագծի ingress-nginx կարգավորիչում և չեն ազդում NGINX մշակողների կողմից մշակված kubernetes-ingress կարգավորիչի վրա:
Ներխուժման կարգավորիչը գործում է որպես դարպաս և օգտագործվում է Kubernetes-ում՝ կազմակերպելու մուտքը արտաքին ցանցից դեպի ծառայություններ կլաստերի ներսում: Ingress-nginx վերահսկիչն ամենահայտնին է և օգտագործում է NGINX սերվերը կլաստերին հարցումները փոխանցելու, արտաքին հարցումները ուղղորդելու և բեռնվածության մնացորդի համար: Kubernetes նախագիծը տրամադրում է հիմնական մուտքային կարգավորիչներ AWS, GCE և nginx-ի համար, որոնցից վերջինը ոչ մի կերպ կապված չէ F5/NGINX-ի կողմից պահպանվող kubernetes-ingress կարգավորիչի հետ:
CVE-2023-5043 և CVE-2023-5044 խոցելիությունները թույլ են տալիս կատարել ձեր կոդը սերվերում մուտքի վերահսկիչի գործընթացի իրավունքներով՝ օգտագործելով «nginx.ingress.kubernetes.io/configuration-snippet» և «nginx.ingress»: .kubernetes» պարամետրերը՝ այն փոխարինելու համար .io/permanent-redirect»: Ի թիվս այլ բաների, ձեռք բերված մուտքի իրավունքները թույլ են տալիս առբերել կլաստերի կառավարման մակարդակում նույնականացման համար օգտագործվող նշանը: CVE-2022-4886 խոցելիությունը թույլ է տալիս շրջանցել ֆայլի ուղու ստուգումը` օգտագործելով log_format հրահանգը:
Առաջին երկու խոցելիությունները հայտնվում են միայն ingress-nginx թողարկումներում մինչև 1.9.0 տարբերակը, իսկ վերջինը՝ մինչև 1.8.0 տարբերակը։ Հարձակում իրականացնելու համար հարձակվողը պետք է մուտք ունենա ներթափանցող օբյեկտի կոնֆիգուրացիան, օրինակ՝ բազմաբնակարան վարձակալող Kubernetes կլաստերներում, որոնցում օգտատերերին հնարավորություն է տրվում ստեղծել օբյեկտներ իրենց անվանատարածքում:
Source: opennet.ru