Kubernetes projesi tarafından geliştirilen ingress-nginx denetleyicisinde, varsayılan yapılandırmada, diğer şeylerin yanı sıra Kubernetes sunucularına erişim için kimlik bilgilerini saklayan ve ayrıcalıklı erişime izin veren Ingress nesnesinin ayarlarına erişime izin veren üç güvenlik açığı belirlendi. kümeye. Sorunlar yalnızca Kubernetes projesindeki ingress-nginx denetleyicisinde görünüyor ve NGINX geliştiricileri tarafından geliştirilen kubernetes-ingress denetleyicisini etkilemiyor.
Giriş denetleyicisi bir ağ geçidi görevi görür ve Kubernetes'te harici ağdan küme içindeki hizmetlere erişimi düzenlemek için kullanılır. Ingress-nginx denetleyicisi en popüler olanıdır ve istekleri kümeye iletmek, harici istekleri yönlendirmek ve yük dengelemek için NGINX sunucusunu kullanır. Kubernetes projesi, AWS, GCE ve nginx için temel giriş denetleyicileri sağlar; bunlardan sonuncusu, F5/NGINX tarafından sağlanan kubernetes giriş denetleyicisiyle hiçbir şekilde ilişkili değildir.
CVE-2023-5043 ve CVE-2023-5044 güvenlik açıkları, "nginx.ingress.kubernetes.io/configuration-snippet" ve "nginx.ingress"i kullanarak kodunuzu sunucuda giriş denetleyicisi işleminin haklarıyla yürütmenize olanak tanır .io/permanent-redirect yerine .kubernetes” parametrelerini kullanın." Diğer şeylerin yanı sıra, elde edilen erişim hakları, küme yönetimi düzeyinde kimlik doğrulama için kullanılan bir belirteci almanıza olanak tanır. Güvenlik açığı CVE-2022-4886, log_format yönergesini kullanarak dosya yolu doğrulamasını atlamanıza olanak tanır.
İlk iki güvenlik açığı yalnızca 1.9.0 sürümünden önceki ingress-nginx sürümlerinde ve sonuncusu ise 1.8.0 sürümünden önceki sürümlerde ortaya çıkıyor. Bir saldırı gerçekleştirmek için saldırganın, örneğin kullanıcılara kendi ad alanlarında nesneler oluşturma yeteneğinin verildiği çok kiracılı Kubernetes kümelerinde giriş nesnesinin yapılandırmasına erişimi olması gerekir.
Kaynak: opennet.ru