Kubernetes’e yönelik NGINX Giriş denetleyicisinde, bir tehdit aktörünün kümeden gizli kimlik bilgilerini çalmak için silah olarak kullanabileceği, yama yapılmamış üç yüksek önem dereceli güvenlik açığı ortaya çıktı.
Güvenlik açıkları aşağıdaki gibidir:
- CVE-2022-4886 (CVSS puanı: 8,8) – Ingress-nginx denetleyicisinin kimlik bilgilerini elde etmek için Ingress-nginx yol temizleme işlemi atlanabilir
- CVE-2023-5043 (CVSS puanı: 7,6) – Ingress-nginx açıklama eklemesi, rastgele komut yürütülmesine neden oluyor
- CVE-2023-5044 (CVSS puanı: 7,6) – nginx.ingress.kubernetes.io/permanent-redirect ek açıklaması aracılığıyla kod ekleme
Kubernetes güvenlik platformu ARMO’nun CTO’su ve kurucu ortağı Ben Hirschberg, CVE-2023-5043 ve CVE-2023- hakkında şöyle konuştu: “Bu güvenlik açıkları, Ingress nesnesinin yapılandırmasını kontrol edebilen bir saldırganın kümeden gizli kimlik bilgilerini çalmasına olanak tanıyor.” 5044.
Kusurların başarılı bir şekilde kullanılması, bir saldırganın giriş denetleyicisi sürecine rastgele kod eklemesine ve hassas verilere yetkisiz erişim sağlamasına olanak tanıyabilir.
CVE-2022-4886, “spec.rules”daki doğrulama eksikliğinin bir sonucu[].http.paths[].path” alanı, Giriş nesnesine erişimi olan bir saldırganın Kubernetes API kimlik bilgilerini giriş denetleyicisinden almasına olanak tanır.
Hirschberg, “Ingress nesnesinde operatör hangi gelen HTTP yolunun hangi iç yola yönlendirileceğini tanımlayabilir” dedi. “Güvenlik açığı olan uygulama, iç yolun geçerliliğini düzgün bir şekilde kontrol etmiyor ve API sunucusuna karşı kimlik doğrulama için istemci kimlik bilgisi olan hizmet hesabı belirtecini içeren dahili dosyaya işaret edebiliyor.”
Düzeltmelerin olmaması durumunda, yazılımın geliştiricileri, “strict-validate-path-type” seçeneğinin etkinleştirilmesini ve geçersiz karakter ve kodlara sahip Ingress nesnelerinin oluşturulmasını önlemek için –enable-annotation-validation bayrağının ayarlanmasını içeren azaltıcı önlemler yayınladı. ek kısıtlamalar uygulayın.
ARMO, “–enable-annotation-validation” komut satırı yapılandırmasının eklenmesiyle birlikte NGINX’in 1.19 sürümüne güncellenmesinin CVE-2023-5043 ve CVE-2023-5044’ü çözdüğünü söyledi.
Hirschberg, “Her ne kadar farklı yönlere işaret etseler de, bu güvenlik açıklarının tümü aynı temel soruna işaret ediyor” dedi.
“Giriş denetleyicilerinin tasarım gereği TLS gizli dizilerine ve Kubernetes API’ye erişiminin olması, onları yüksek ayrıcalık kapsamına sahip iş yükleri haline getiriyor. Ayrıca, bunlar genellikle halka açık internete yönelik bileşenler olduklarından, kümeye kendileri aracılığıyla giren dış trafiğe karşı çok savunmasızlar.”