Клієнти Kubernetes, що використовують популярний контролер Ingress Nginx, закликали виправити чотири нещодавно виявлені недоліки віддаленого коду (RCE), присвоєні оцінкою CVSS 9,8.
Чотири вразливості, які отримали назву “Ingressnivemare” Wiz Security, впливають на компонент контролера вступу популярного програмного забезпечення з відкритим кодом, яке призначене для направлення зовнішнього трафіку до відповідних служб Kubernetes та стручок.
Wiz Research стверджував, що недоліки впливають на 43% усіх хмарних середовищ, включаючи багато компаній Fortune 500. Оскільки контролери прийому програмного забезпечення, як правило, піддаються загальнодоступному Інтернеті, вони мають “критичний ризик” нападу, він попередив.
Чотири вразливості: CVE-2015-1097, CVE-2015-1098, CVE-2015-24514 та CVE-2015-1974. Перші три могли дозволити зловмиснику вводити довільні директиви конфігурації NGINX. Коли прикутий до четвертого, актор загрози зможе досягти віддаленого виконання коду.
Детальніше про загрози Kubernetes: майже один мільйон відкритих неправильно налаштованих екземплярів Kubernetes може спричинити порушення
“Коли контролер прийому Ingress-Nginx обробляє вхідний об'єкт, що надходить, він створює з нього конфігурацію NGINX, а потім підтверджує його за допомогою бінарного Nginx. Наша команда знайшла вразливість на цій фазі, яка дозволяє вводити довільну конфігурацію Nginx, відправляючи шкідливий об’єкт введення вбудованому контролеру через мережу”.
“Під час фази валідації конфігурації введена конфігурація NGINX призводить до того, що валідатор NGINX виконує код, що дозволяє віддаленому виконанню коду (RCE) на POD контролера Ingress Nginx.”
Оскільки контролер вступу посилив привілеї та необмежений доступ до мережі, експлуатація прикутних недоліків може дозволити зловмиснику виконувати довільний код, отримати доступ до всіх секретів кластерів і повністю взяти на себе цільовий кластер.
Щоб захистити свої системи, адміністраторів Kubernetes закликають оновити до контролера Nginx версії 1.12.1 та 1.11.5, і переконайтеся, що кінцева точка прийому Webhook не піддається зовні.
Постачальник безпеки також опублікував деякі пом'якшення для тих, хто не може негайно перейти до виправлених версій.
Перший з багатьох?
На жаль, це може бути першим з багатьох таких відкриттів у контролера прийому Kubernetes.
“Спочатку ми були здивовані, побачивши, що така велика кодова база використовується за лаштунками. На наш погляд, ця поверхня атаки повинна бути обмежена набагато краще: вилучення доступу з стручок всередині кластера і ніколи не оприлюднювати це публічно”, – підсумував Wiz Security.
“Ми також були здивовані відсутністю дизайну найменшої привілеї, оскільки експлуатація закінчилася привілеями взяти під контроль кластер. Під час цього дослідження ми знайшли інші вразливості в контролері Nginx, і ми очікуємо, що в інших контролера прийому”.