Исправления до сих пор не выпущены. Кто знает, сколько хакеров успели использовать выявленные уязвимости.
Специалисты по кибербезопасности выявили три неисправленные уязвимости высокой степени критичности в контроллере входящего трафика NGINX . Zero-day недостатки могут привести к утечке учётных данных и других секретов из кластеров Kubernetes .
Идентифицированные проблемы были раскрыты 27 октября и получили обозначения Для просмотра ссылки Войдиили Зарегистрируйся , Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся . Пока неясно, были ли они использованы в реальных атаках и когда будет выпущено исправление.
Все три уязвимости затрагивают Для просмотра ссылки Войдиили Зарегистрируйся , используемый в Kubernetes как обратный прокси и балансировщик нагрузки, до версии 1.9.0 включительно.
Первые две бреши, CVE-2023-5043 и CVE-2023-5044, связаны с недостаточной проверкой входных данных и могут привести к внедрению произвольного кода, получению привилегированных учётных данных и краже всех секретов кластера. Обе проблемы имеют оценку уязвимости 7,6 из 10 по шкале CVSS .
Комитет по реагированию на безопасность Kubernetes рекомендует администраторам Ingress использовать флаг «--enable-annotation-validation» для усиления проверки содержимого полей аннотаций ingress-nginx в качестве меры предосторожности.
Третья уязвимость, CVE-2022-4886, оценивается более высоко — 8,8 по шкале CVSS. Эта проблема может быть эксплуатирована при создании или обновлении объектов Ingress, позволяя злоумышленникам получить доступ к учётным данным Kubernetes API из контроллера Ingress и, следовательно, украсть все секреты кластера. Она затрагивает версии до 1.8.0 включительно.
Смягчение последствий этой уязвимости зависит от конфигурации поля «pathType», которое определяет поведение прокси. Согласно предоставленной информации, при настройке «pathType» как «Exact» или «Prefix» следует блокировать любой Ingress с недопустимыми символами:
«При конфигурации "pathType" как "Exact" или "Prefix" применяется более строгая проверка, разрешающая только пути, начинающиеся с символа "/" и содержащие только буквенно-цифровые символы, а также "-", "_" и дополнительные "/", — объясняют специалисты.
Если для «pathType» используется значение «ImplementationSpecific», то администраторам рекомендуется установить политику, блокирующую вредоносные пути, Для просмотра ссылки Войдиили Зарегистрируйся .
Безопасность контроллеров Ingress вызывает особую тревогу, поскольку они по своей сути имеют доступ к секретам TLS и Kubernetes API, что делает их привилегированными рабочими нагрузками. Учитывая их важность как компонентов, обращённых к интернету, риск внешних атак существенно увеличивается.
Бен Хиршберг, сооснователь и главный технический директор компании Armo , специализирующейся на безопасности Kubernetes, Для просмотра ссылки Войдиили Зарегистрируйся : «Все эти уязвимости указывают на одну и ту же основную проблему, требующую немедленного внимания специалистов по кибербезопасности».
Специалисты по кибербезопасности выявили три неисправленные уязвимости высокой степени критичности в контроллере входящего трафика NGINX . Zero-day недостатки могут привести к утечке учётных данных и других секретов из кластеров Kubernetes .
Идентифицированные проблемы были раскрыты 27 октября и получили обозначения Для просмотра ссылки Войди
Все три уязвимости затрагивают Для просмотра ссылки Войди
Первые две бреши, CVE-2023-5043 и CVE-2023-5044, связаны с недостаточной проверкой входных данных и могут привести к внедрению произвольного кода, получению привилегированных учётных данных и краже всех секретов кластера. Обе проблемы имеют оценку уязвимости 7,6 из 10 по шкале CVSS .
Комитет по реагированию на безопасность Kubernetes рекомендует администраторам Ingress использовать флаг «--enable-annotation-validation» для усиления проверки содержимого полей аннотаций ingress-nginx в качестве меры предосторожности.
Третья уязвимость, CVE-2022-4886, оценивается более высоко — 8,8 по шкале CVSS. Эта проблема может быть эксплуатирована при создании или обновлении объектов Ingress, позволяя злоумышленникам получить доступ к учётным данным Kubernetes API из контроллера Ingress и, следовательно, украсть все секреты кластера. Она затрагивает версии до 1.8.0 включительно.
Смягчение последствий этой уязвимости зависит от конфигурации поля «pathType», которое определяет поведение прокси. Согласно предоставленной информации, при настройке «pathType» как «Exact» или «Prefix» следует блокировать любой Ingress с недопустимыми символами:
«При конфигурации "pathType" как "Exact" или "Prefix" применяется более строгая проверка, разрешающая только пути, начинающиеся с символа "/" и содержащие только буквенно-цифровые символы, а также "-", "_" и дополнительные "/", — объясняют специалисты.
Если для «pathType» используется значение «ImplementationSpecific», то администраторам рекомендуется установить политику, блокирующую вредоносные пути, Для просмотра ссылки Войди
Безопасность контроллеров Ingress вызывает особую тревогу, поскольку они по своей сути имеют доступ к секретам TLS и Kubernetes API, что делает их привилегированными рабочими нагрузками. Учитывая их важность как компонентов, обращённых к интернету, риск внешних атак существенно увеличивается.
Бен Хиршберг, сооснователь и главный технический директор компании Armo , специализирующейся на безопасности Kubernetes, Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru