Nuove vulnerabilità nel NGINX Ingress Controller per Kubernetes
Minacce all'integrità e alla sicurezza dei cluster Kubernetes
Tre nuove vulnerabilità di gravità elevata sono state scoperte nel NGINX Ingress Controller per Kubernetes, che potrebbero permettere a un attaccante di rubare credenziali dal cluster. Le vulnerabilità coinvolgono la sanificazione del percorso, l'iniezione di annotazioni e l'iniezione di codice. La soluzione suggerita è aggiornare NGINX e abilitare la configurazione della riga di comando. I controller di ingress sono soggetti a rischi elevati a causa del loro accesso a segreti e all'API di Kubernetes.
È stata annunciata la scoperta di tre nuove vulnerabilità di sicurezza di alta gravità nel NGINX Ingress Controller per Kubernetes, che potrebbero essere sfruttate da un attaccante per rubare credenziali segrete dal cluster.
Le vulnerabilità scoperte
Le vulnerabilità sono le seguenti:
- CVE-2022-4886 (CVSS score: 8.8): È possibile bypassare la sanificazione del percorso di Ingress-nginx per ottenere le credenziali del controller di Ingress-nginx.
- CVE-2023-5043 (CVSS score: 7.6): L'iniezione di annotazioni in Ingress-nginx causa l'esecuzione arbitraria di comandi.
- CVE-2023-5044 (CVSS score: 7.6): Iniezione di codice tramite l'annotazione "nginx.ingress.kubernetes.io/permanent-redirect".
"Queste vulnerabilità consentono a un attaccante, in grado di controllare la configurazione dell'oggetto Ingress, di rubare credenziali segrete dal cluster", ha affermato Ben Hirschberg, CTO e co-fondatore della piattaforma di sicurezza Kubernetes ARMO, a proposito di CVE-2023-5043 e CVE-2023-5044.
Le conseguenze delle vulnerabilità
Lo sfruttamento delle vulnerabilità potrebbe consentire a un aggressore di iniettare codice arbitrario nel processo del controller di ingress e ottenere accesso non autorizzato a dati sensibili.
CVE-2022-4886, risultato di una mancanza di convalida nel campo "spec.rules[].http.paths[].path", permette a un attaccante con accesso all'oggetto Ingress di rubare le credenziali dall'ingress controller.
Per risolvere le vulnerabilità CVE-2023-5043 e CVE-2023-5044, ARMO suggerisce di aggiornare NGINX alla versione 1.19 e abilitare la configurazione della riga di comando "--enable-annotation-validation".
I rischi associati ai controller di ingress
"Nonostante indichino direzioni diverse, tutte queste vulnerabilità puntano allo stesso problema sottostante", ha affermato Hirschberg. "Il fatto che i controller di ingress abbiano accesso a segreti TLS e all'API di Kubernetes per design li rende workload con un alto livello di privilegio. Inoltre, poiché spesso sono componenti esposti su Internet, sono molto vulnerabili all'accesso del traffico esterno al cluster attraverso di loro".
Follow us on Telegram for more pills like this11/01/2023 12:09
Marco Verro