BlogNoticias

Inserido em: 31/10/2023

Urgente: Novas falhas de segurança descobertas no controlador de entrada NGINX para Kubernetes

Nginx Kubernetes

Três falhas de segurança de alta gravidade não corrigidas foram divulgadas no controlador NGINX Ingress para Kubernetes que poderiam ser armadas por um agente de ameaça para roubar credenciais secretas do cluster.

As vulnerabilidades são as seguintes:

  • CVE-2022-4886 (pontuação CVSS: 8.8) – A limpeza do caminho Ingress-nginx pode ser ignorada para obter as credenciais do controlador Ingress-nginx
  • CVE-2023-5043 (pontuação CVSS: 7.6) – A injeção de anotação Ingress-nginx causa a execução arbitrária de comandos
  • CVE-2023-5044 (pontuação CVSS: 7.6) – Injeção de código via anotação nginx.ingress.kubernetes.io/permanent-redirect

“Essas vulnerabilidades permitem que um invasor possa controlar a configuração do objeto Ingress e roube credenciais secretas do cluster”, disse Ben Hirschberg, CTO e cofundador da plataforma de segurança Kubernetes ARMO, sobre CVE-2023-5043 e CVE-2023-5044.

A exploração bem-sucedida das falhas pode permitir que um adversário injete código arbitrário no processo do controlador de entrada e obtenha acesso não autorizado a dados confidenciais.

O CVE-2022-4886, resultado da falta de validação no campo “spec.rules[].http.paths[].path”, permite que um invasor com acesso ao objeto da  API de credenciais do Ingress do Kubernetes, controle a entrada do Ingress.

“No objeto Ingress, o operador pode definir qual caminho HTTP de entrada é roteado para qual caminho interno”, observou Hirschberg. “O aplicativo vulnerável não verifica corretamente a validade do caminho interno e pode apontar para o arquivo interno que contém o token de conta de serviço que é a credencial do cliente para autenticação no servidor de API.”

Na ausência de correções, os mantenedores do software lançaram mitigações que envolvem habilitar a opção “strict-validate-path-type” e definir o sinalizador –enable-annotation-validation para impedir a criação de objetos Ingress com caracteres inválidos e impor restrições adicionais.

A ARMO disse que atualizar o NGINX para a versão 1.19, além de adicionar a configuração de linha de comando “–enable-annotation-validation”, resolve a CVE-2023-5043 e CVE-2023-5044.

“Embora apontem em direções diferentes, todas essas vulnerabilidades apontam para o mesmo problema subjacente”, disse Hirschberg.

“O fato de os controladores de entrada terem acesso a segredos TLS e à API do Kubernetes por design os torna cargas de trabalho com escopo de alto privilégio. Além disso, como muitas vezes são componentes voltados para a internet pública, eles são muito vulneráveis ao tráfego externo que entra no cluster por meio deles.”

 

Fonte: THN

 

Voltar

Compartilhe no WhatsApp
Desenvolvido por Across | Política de Privacidade | Empresa do Grupo Pierre Soluções