Acil: Kubernetes için NGINX Giriş Denetleyicisinde Yeni Güvenlik Açıkları Keşfedildi
Kubernetes için NGINX Giriş denetleyicisinde, bir tehdit aktörü tarafından kümeden gizli kimlik bilgilerini çalmak için silah haline getirilebilecek üç yamalanmamış, yüksek önem derecesine sahip güvenlik açığı açıklandı.
Güvenlik açıkları aşağıdaki gibidir -
- CVE-2022-4886 (CVSS puanı: 8,8) - Ingress-nginx denetleyicisinin kimlik bilgilerini almak için ingress-nginx yol temizliği atlanabilir
- CVE-2023-5043 (CVSS puanı: 7,6) - Ingress-nginx ek açıklama enjeksiyonu rastgele komut yürütülmesine neden oluyor
- CVE-2023-5044 (CVSS puanı: 7,6) - nginx.ingress.kubernetes.io/permanent-redirect ek açıklama yoluyla kod ekleme
Kubernetes güvenlik platformu ARMO'nun CTO'su ve kurucu ortağı Ben Hirschberg, CVE-2023-5043 ve CVE-2023-5044 hakkında "Bu güvenlik açıkları, Giriş nesnesinin yapılandırmasını kontrol edebilen bir saldırganın kümeden gizli kimlik bilgilerini çalmasını sağlıyor" dedi.
Kusurların başarılı bir şekilde kötüye kullanılması, bir saldırganın giriş denetleyicisi işlemine rasgele kod eklemesine ve hassas verilere yetkisiz erişim elde etmesine izin verebilir.
"spec.rules[].http.paths[].path" alanındaki doğrulama eksikliğinin bir sonucu olan CVE-2022-4886, Giriş nesnesine erişimi olan bir saldırganın giriş denetleyicisinden Kubernetes API kimlik bilgilerini sifonlamasına izin verir.
Hirschberg, "Ingress nesnesinde, operatör hangi gelen HTTP yolunun hangi iç yola yönlendirileceğini tanımlayabilir" dedi. "Güvenlik açığı bulunan uygulama, iç yolun geçerliliğini düzgün bir şekilde denetlemez ve API sunucusunda kimlik doğrulaması için istemci kimlik bilgisi olan hizmet hesabı belirtecini içeren dahili dosyaya işaret edebilir."
Düzeltmelerin yokluğunda, yazılımın bakımcıları, geçersiz karakterlere sahip Giriş nesnelerinin oluşturulmasını önlemek ve ek kısıtlamalar uygulamak için "strict-validate-path-type" seçeneğinin etkinleştirilmesini ve --enable-annotation-validation bayrağının ayarlanmasını içeren azaltıcı etkenler yayınladı.
ARMO, NGINX'i 1.19 sürümüne güncellemenin yanı sıra "--enable-annotation-validation" komut satırı yapılandırmasını eklemenin CVE-2023-5043 ve CVE-2023-5044'ü çözdüğünü söyledi.
Hirschberg, "Farklı yönlere işaret etseler de, tüm bu güvenlik açıkları aynı temel soruna işaret ediyor" dedi.
"Giriş denetleyicilerinin tasarım gereği TLS gizli dizilerine ve Kubernetes API'sine erişimi olması, onları yüksek ayrıcalık kapsamına sahip iş yükleri haline getirir. Buna ek olarak, genellikle halka açık İnternet'e yönelik bileşenler olduklarından, kümeye kendileri aracılığıyla giren dış trafiğe karşı çok savunmasızdırlar."
Benzer Haberler
DigiCert, Alan Adı Doğrulama Gözetimi Nedeniyle 83,000+ SSL Sertifikasını İptal Edecek
Sahibinden.com alan adını yenilemeyi mi unuttu?
Toyota Almanya, Fidye Yazılımı Saldırısında Müşteri Verilerinin Çalındığını Söyledi
Yeni Bluetooth Kusuru, Bilgisayar Korsanlarının Android, Linux, macOS ve iOS Cihazlarını Ele Geçirmesine İzin Veriyor
Microsoft, Büyük Güvenlik Sarsıntısında Yeni CISO'yu İşe Aldı
K. Koreli Bilgisayar Korsanları, Tespit Edilmekten Kaçınmak için macOS Kötü Amaçlı Yazılım Taktiklerini 'Karıştırıyor'
Biden CISO Arıyor
SideCopy, Hindistan Devlet Kurumlarını Hedef Alan Saldırılarda WinRAR Kusurundan Yararlanıyor