Kubernetes projekta izstrādātajā kontrollerī ingress-nginx ir identificētas trīs ievainojamības, kas noklusējuma konfigurācijā ļauj piekļūt objekta Ingress iestatījumiem, kas, cita starpā, glabā akreditācijas datus, lai piekļūtu Kubernetes serveriem, nodrošinot priviliģētu piekļuvi. uz klasteru. Problēmas parādās tikai Kubernetes projekta ingress-nginx kontrollerī un neietekmē NGINX izstrādātāju izstrādāto kubernetes-ingress kontrolleri.
Ieejas kontrolleris darbojas kā vārteja un tiek izmantots Kubernetes, lai organizētu piekļuvi no ārējā tīkla pakalpojumiem klasterī. Ingress-nginx kontrolleris ir vispopulārākais un izmanto NGINX serveri, lai pārsūtītu pieprasījumus klasterim, maršrutētu ārējos pieprasījumus un slodzes līdzsvaru. Kubernetes projekts nodrošina galvenos ieejas kontrolierus AWS, GCE un nginx, no kuriem pēdējais nekādā veidā nav saistīts ar F5/NGINX uzturēto kubernetes-ingress kontrolieri.
Ievainojamības CVE-2023-5043 un CVE-2023-5044 ļauj izpildīt savu kodu serverī ar ieejas kontrollera procesa tiesībām, izmantojot “nginx.ingress.kubernetes.io/configuration-snippet” un “nginx.ingress .kubernetes” parametrus, lai to aizstātu ar .io/permanent-redirect." Cita starpā iegūtās piekļuves tiesības ļauj izgūt autentifikācijai izmantoto marķieri klasteru pārvaldības līmenī. Ievainojamība CVE-2022-4886 ļauj apiet faila ceļa verifikāciju, izmantojot log_format direktīvu.
Pirmās divas ievainojamības parādās tikai ingress-nginx laidienos pirms versijas 1.9.0, bet pēdējā - pirms versijas 1.8.0. Lai veiktu uzbrukumu, uzbrucējam ir jābūt piekļuvei ieejas objekta konfigurācijai, piemēram, vairāku nomnieku Kubernetes klasteros, kuros lietotājiem tiek dota iespēja izveidot objektus savā nosaukumvietā.
Avots: opennet.ru