พบช่องโหว่ใหม่ใน NGINX Ingress Controller สำหรับ Kubernetes

470/66 (IT) ประจำวันอังคารที่ 31 ตุลาคม 2566

มีการเปิดเผยช่องโหว่ระดับ high-severity ที่ยังไม่ได้แก้ไขจำนวน 3 รายการ ในตัวควบคุม NGINX Ingress สำหรับ Kubernetes ที่อาจทำให้ผู้โจมตีใช้เพื่อขโมยข้อมูลประจำตัวที่เป็นความลับ

โดยช่องโหว่มีดังนี้

– CVE-2022-4886 (CVSS score: 8.8)-Ingress-nginx path sanitization can be bypassed to obtain the credentials of the ingress-nginx controller

– CVE-2023-5043 (CVSS score: 7.6) – Ingress-nginx annotation injection causes arbitrary command execution

– CVE-2023-5044 (CVSS score: 7.6) – Code injection via nginx.ingress.kubernetes.io/permanent-redirect annotation

Ben Hirschberg, CTO และผู้ร่วมก่อตั้งแพลตฟอร์มความปลอดภัย Kubernetes ARMO กล่าวถึงช่องโหว่ CVE-2023-5043 และ CVE-2023-5044 หากมีการใช้ประโยชน์จากช่องโหว่สำเร็จอาจทำให้สามารถแทรกโค้ดที่กำหนดเองลงในกระบวนการควบคุมทางเข้า และเข้าถึงข้อมูลที่ละเอียดอ่อนโดยไม่ได้รับอนุญาต ส่วนช่องโหว่ CVE-2022-4886 เป็นผลมาจากการขาดการตรวจสอบในช่อง “spec.rules[].http.paths[].path” ทำให้ผู้โจมตีสามารถเข้าถึง Ingress object เพื่อดูดข้อมูลประจำตัว Kubernetes API จาก ingress controller     

ARMO กล่าวว่าการอัปเดต NGINX เป็นเวอร์ชัน 1.19 ควบคู่ไปกับการเพิ่มการกำหนดค่าบรรทัดคำสั่ง “–enable-annotation-validation” จะแก้ไข CVE-2023-5043 และ CVE-2023-5044 ในกรณีที่ไม่มีการแก้ไขผู้ดูแลซอฟต์แวร์ได้เผยแพร่มาตรการลดผลกระทบที่เกี่ยวข้องโดยการเปิดใช้งานตัวเลือก “strict-validate-path-type” และการตั้งค่า –enable-annotation-validation flag เพื่อป้องกันการสร้าง Ingress ที่มีอักขระที่ไม่ถูกต้อง

แหล่งข่าว https://thehackernews.com/2023/10/urgent-new-security-flaws-discovered-in.html