Ранливости во ingress-nginx кои дозволуваат кластерите на Kubernetes да бидат компромитирани

Во контролорот ingress-nginx развиен од проектот Kubernetes, идентификувани се три пропусти кои овозможуваат, во стандардната конфигурација, пристап до поставките на објектот Ingress, кој, меѓу другото, ги складира ингеренциите за пристап до серверите на Kubernetes, овозможувајќи привилегиран пристап до кластерот. Проблемите се појавуваат само во контролерот ingress-nginx од проектот Kubernetes и не влијаат на контролерот kubernetes-ingress развиен од развивачите на NGINX.

Контролерот за влез делува како порта и се користи во Kubernetes за организирање пристап од надворешната мрежа до услугите во кластерот. Контролерот ingress-nginx е најпопуларен и го користи серверот NGINX за препраќање барања до кластерот, рутирање на надворешни барања и баланс на вчитување. Проектот Kubernetes обезбедува основни контролери за влез за AWS, GCE и nginx, од кои вториот на никаков начин не е поврзан со контролерот за влез на kubernetes што го одржува F5/NGINX.

Ранливостите CVE-2023-5043 и CVE-2023-5044 ви дозволуваат да го извршите вашиот код на серверот со правата на процесот на контролорот за влез, користејќи ги „nginx.ingress.kubernetes.io/configuration-snippet“ и „nginx.ingress .kubernetes“ параметри за да го заменат .io/permanent-redirect." Меѓу другото, добиените права за пристап ви овозможуваат да преземете токен што се користи за автентикација на ниво на управување со кластерот. Ранливоста CVE-2022-4886 ви овозможува да ја заобиколите верификацијата на патеката на датотеката користејќи ја директивата log_format.

Првите две пропусти се појавуваат само во изданијата на ingress-nginx пред верзијата 1.9.0, а последната - пред верзијата 1.8.0. За да изврши напад, напаѓачот мора да има пристап до конфигурацијата на влезниот објект, на пример, во кластерите на Kubernetes со повеќе закупци, во кои на корисниците им се дава можност да креираат објекти во нивниот именски простор.

Извор: opennet.ru