נקודות תורפה ב-ingress-nginx המאפשרות להתפשר על אשכולות Kubernetes

בבקר ingress-nginx שפותח על ידי פרויקט Kubernetes, זוהו שלוש נקודות תורפה המאפשרות, בתצורת ברירת המחדל, גישה להגדרות של אובייקט Ingress, אשר, בין היתר, מאחסן אישורים לגישה לשרתי Kubernetes, המאפשר גישה מועדפת. לאשכול. הבעיות מופיעות רק בבקר ingress-nginx מפרויקט Kubernetes ואינן משפיעות על בקר kubernetes-ingress שפותח על ידי מפתחי NGINX.

בקר הכניסה פועל כשער ומשמש ב-Kubernetes לארגון גישה מהרשת החיצונית לשירותים בתוך האשכול. בקר ingress-nginx הוא הפופולרי ביותר ומשתמש בשרת NGINX כדי להעביר בקשות לאשכול, לנתב בקשות חיצוניות ואיזון עומסים. פרויקט Kubernetes מספק בקרי כניסת ליבה עבור AWS, GCE ו-nginx, שהאחרון שבהם אינו קשור בשום אופן לבקר kubernetes-ingress המתוחזק על ידי F5/NGINX.

הפגיעויות CVE-2023-5043 ו-CVE-2023-5044 מאפשרות לך להפעיל את הקוד שלך בשרת עם הזכויות של תהליך בקר הכניסה, באמצעות "nginx.ingress.kubernetes.io/configuration-snippet" ו-"nginx.ingress .kubernetes" כדי להחליף אותו ב-.io/permanent-redirect." בין היתר, זכויות הגישה שהושגו מאפשרות לך לאחזר אסימון המשמש לאימות ברמת ניהול האשכולות. פגיעות CVE-2022-4886 מאפשרת לך לעקוף את אימות נתיב הקובץ באמצעות הוראת log_format.

שתי הפגיעויות הראשונות מופיעות רק במהדורות ingress-nginx לפני גרסה 1.9.0, והאחרונה - לפני גרסה 1.8.0. כדי לבצע תקיפה, לתוקף חייבת להיות גישה לתצורה של אובייקט הכניסה, למשל באשכולות Kubernetes מרובי דיירים, בהם ניתנת למשתמשים היכולת ליצור אובייקטים במרחב השמות שלהם.

מקור: OpenNet.ru