Kubernetes 클러스터가 손상될 수 있는 ingress-nginx의 취약점

Kubernetes 프로젝트에서 개발한 ingress-nginx 컨트롤러에서 기본 구성에서 Ingress 객체의 설정에 대한 액세스를 허용하는 세 가지 취약점이 식별되었습니다. Ingress 객체는 무엇보다도 Kubernetes 서버에 액세스하기 위한 자격 증명을 저장하여 권한 있는 액세스를 허용합니다. 클러스터에. 문제는 Kubernetes 프로젝트의 ingress-nginx 컨트롤러에만 나타나며 NGINX 개발자가 개발한 kubernetes-ingress 컨트롤러에는 영향을 미치지 않습니다.

수신 컨트롤러는 게이트웨이 역할을 하며 Kubernetes에서 외부 네트워크에서 클러스터 내의 서비스에 대한 액세스를 구성하는 데 사용됩니다. ingress-nginx 컨트롤러는 가장 널리 사용되며 NGINX 서버를 사용하여 요청을 클러스터로 전달하고 외부 요청을 라우팅하며 로드 밸런싱을 수행합니다. Kubernetes 프로젝트는 AWS, GCE 및 nginx에 대한 핵심 수신 컨트롤러를 제공하며, 후자는 F5/NGINX에서 유지 관리하는 kubernetes-ingress 컨트롤러와 전혀 관련이 없습니다.

취약점 CVE-2023-5043 및 CVE-2023-5044를 사용하면 "nginx.ingress.kubernetes.io/configuration-snippet" 및 "nginx.ingress"를 사용하여 수신 컨트롤러 프로세스 권한으로 서버에서 코드를 실행할 수 있습니다. .kubernetes” 매개변수를 사용하여 .io/permanent-redirect로 대체합니다." 무엇보다도 획득한 액세스 권한을 통해 클러스터 관리 수준에서 인증에 사용되는 토큰을 검색할 수 있습니다. 취약점 CVE-2022-4886을 사용하면 log_format 지시어를 사용하여 파일 경로 확인을 우회할 수 있습니다.

처음 두 취약점은 버전 1.9.0 이전의 ingress-nginx 릴리스에만 나타나고 마지막 취약점은 버전 1.8.0 이전에 나타납니다. 공격을 수행하려면 공격자는 수신 개체의 구성에 액세스할 수 있어야 합니다(예: 사용자에게 자신의 네임스페이스에서 개체를 생성할 수 있는 기능이 제공되는 다중 테넌트 Kubernetes 클러스터).

출처 : opennet.ru