.
Três bugs de alta gravidade não corrigidos no controlador de entrada NGINX podem ser usados por malfeitores para roubar credenciais e outros segredos de clusters Kubernetes.
As vulnerabilidades, rastreadas como CVE-2023-5043, CVE-2023-5044 e CVE-2022-4886, foram divulgadas em 27 de outubro e estão listadas como atualmente aguardando triagem. Não está claro se alguma das falhas foi explorada.
Strong The One não recebeu resposta imediata às perguntas, inclusive se os bugs foram encontrados e explorados e quando um patch será lançado.
Todas as três falhas afetam aqueles com o controlador de entrada NGINX para Kubernetes que usa NGINX como proxy reverso e balanceador de carga.
Os dois primeiros, CVE-2023-5043 e CVE-2023-5044, são devidos à validação de entrada inadequada e podem ser explorados para injetar código arbitrário, obter credenciais de alto nível e roubar todos os segredos do cluster. Ambos são classificados como bugs de “alta” gravidade”, receberam classificações CVSS de 7,6 em 10 e afetam as versões 1.9.0 e anteriores.
Para mitigar ambos os problemas, CJ Cullen do Comitê de Resposta de Segurança do Kubernetes recomenda que os administradores de entrada “definam o sinalizador –enable-annotation-validation para impor restrições ao conteúdo dos campos de anotação ingress-nginx”.
A terceira questão, CVE-2022-4886, recebeu uma pontuação de gravidade CVSS de 8,8. Se alguém puder criar ou atualizar objetos de entrada, poderá explorar esse bug para obter credenciais da API Kubernetes do controlador de entrada e, em seguida, usar esse acesso para roubar todos os segredos do cluster. Afeta as versões 1.8.0 e anteriores.
A mitigação desta falha depende da configuração do campo pathType, que define o comportamento do proxy. Se o pathType estiver configurado como “Exato” ou “Prefixo”, ele deverá negar qualquer entrada com caracteres inválidos, somos informados:
Se o pathType usar “ImplementationSpecific”, no entanto, é recomendado que os administradores definam uma política que bloqueie o caminho malicioso, conforme mostrado neste Exemplo de agente de política aberta.
Embora sejam três questões distintas, “todas essas vulnerabilidades apontam para o mesmo problema subjacente”, de acordo com o cofundador e diretor de tecnologia da empresa de segurança Kubernetes Armo, Ben Hirschberg.
“O fato de os controladores de entrada terem acesso aos segredos TLS e à API Kubernetes por design os torna cargas de trabalho com alto escopo de privilégios”, Hirschberg escreveu em um blog sobre os três bugs. “Além disso, como geralmente são componentes públicos voltados para a Internet, eles são muito vulneráveis ao tráfego externo que entra no cluster por meio deles”. ®
.
