У ингресс-нгинк контролеру који је развио Кубернетес пројекат идентификоване су три рањивости које омогућавају, у подразумеваној конфигурацији, приступ подешавањима Ингресс објекта, који, између осталог, чува акредитиве за приступ Кубернетес серверима, омогућавајући привилеговани приступ до грозда. Проблеми се појављују само у ингресс-нгинк контролеру из Кубернетес пројекта и не утичу на кубернетес-ингресс контролер који су развили НГИНКС програмери.
Контролер улаза делује као гатеваи и користи се у Кубернетесу за организовање приступа са спољне мреже услугама унутар кластера. Ингресс-нгинк контролер је најпопуларнији и користи НГИНКС сервер за прослеђивање захтева кластеру, рутирање спољних захтева и баланс оптерећења. Кубернетес пројекат обезбеђује основне контролере улаза за АВС, ГЦЕ и нгинк, од којих овај други ни на који начин није повезан са кубернетес-ингресс контролером који одржава Ф5/НГИНКС.
Рањивости ЦВЕ-2023-5043 и ЦВЕ-2023-5044 вам омогућавају да извршите свој код на серверу са правима процеса контролера улаза, користећи „нгинк.ингресс.кубернетес.ио/цонфигуратион-сниппет“ и „нгинк.ингресс .кубернетес” параметара да га замени .ио/перманент-редирецт.“ Између осталог, добијена права приступа вам омогућавају да преузмете токен који се користи за аутентификацију на нивоу управљања кластером. Рањивост ЦВЕ-2022-4886 вам омогућава да заобиђете верификацију путање датотеке помоћу директиве лог_формат.
Прве две рањивости се појављују само у ингресс-нгинк издањима пре верзије 1.9.0, а последња - пре верзије 1.8.0. Да би извршио напад, нападач мора да има приступ конфигурацији улазног објекта, на пример, у Кубернетес кластерима са више закупаца, у којима је корисницима дата могућност да креирају објекте у свом именском простору.
Извор: опеннет.ру