링크모음 링크세상
링크세상 링크모음 링크 애니 웹툰 링크 드라마 영화 링크 세상의모든링크

Kubernetes용 NGINX 수신 컨트롤러에서 새로운 보안 결함 발견

2023년 10월 30일뉴스 편집실쿠버네티스/서버 보안

위협 행위자가 클러스터에서 비밀 자격 증명을 훔치기 위해 무기화할 수 있는 Kubernetes용 NGINX Ingress 컨트롤러에서 패치되지 않은 심각도가 높은 세 가지 보안 결함이 공개되었습니다.

취약점은 다음과 같습니다 –

  • CVE-2022-4886 (CVSS 점수: 8.8) – Ingress-nginx 컨트롤러의 자격 증명을 얻기 위해 Ingress-nginx 경로 삭제를 우회할 수 있습니다.
  • CVE-2023-5043 (CVSS 점수: 7.6) – Ingress-nginx 주석 주입으로 인해 임의 명령 실행이 발생함
  • CVE-2023-5044 (CVSS 점수: 7.6) – nginx.ingress.kubernetes.io/permanent-redirect 주석을 통한 코드 주입

CVE-2023-5043 및 CVE-2023에 대해 CTO이자 Kubernetes 보안 플랫폼 ARMO의 공동 창립자인 Ben Hirschberg는 “이러한 취약점으로 인해 Ingress 개체의 구성을 제어할 수 있는 공격자가 클러스터에서 비밀 자격 증명을 훔칠 수 있습니다.”라고 말했습니다. 5044.

이 결함을 성공적으로 악용하면 공격자가 수신 컨트롤러 프로세스에 임의의 코드를 삽입하고 민감한 데이터에 무단으로 액세스할 수 있습니다.

사이버 보안

CVE-2022-4886, “spec.rules의 유효성 검사 부족으로 인한 결과”[].http.경로[].path” 필드를 사용하면 Ingress 객체에 대한 액세스 권한이 있는 공격자가 Ingress 컨트롤러에서 Kubernetes API 자격 증명을 사이펀할 수 있습니다.

“Ingress 개체에서 운영자는 어떤 수신 HTTP 경로가 어떤 내부 경로로 라우팅되는지 정의할 수 있습니다.”라고 Hirschberg는 말했습니다. “취약한 애플리케이션은 내부 경로의 유효성을 제대로 확인하지 않으며 API 서버에 대한 인증을 위한 클라이언트 자격 증명인 서비스 계정 토큰이 포함된 내부 파일을 가리킬 수 있습니다.”

수정 사항이 없는 경우, 소프트웨어 관리자는 “strict-validate-path-type” 옵션을 활성화하고 –enable-annotation-validation 플래그를 설정하여 잘못된 문자가 포함된 Ingress 객체 생성을 방지하는 완화 조치를 발표했습니다. 추가 제한을 시행합니다.

ARMO는 “–enable-annotation-validation” 명령줄 구성을 추가하는 것과 함께 NGINX를 버전 1.19로 업데이트하면 CVE-2023-5043 및 CVE-2023-5044가 해결된다고 밝혔습니다.

Hirschberg는 “비록 서로 다른 방향을 가리키고 있지만 이러한 모든 취약점은 동일한 근본적인 문제를 가리킵니다.”라고 말했습니다.

“수신 컨트롤러가 설계상 TLS 비밀 및 Kubernetes API에 액세스할 수 있다는 사실로 인해 높은 권한 범위의 작업 부하가 발생합니다. 또한 공용 인터넷에 연결된 구성 요소인 경우가 많기 때문에 이를 통해 클러스터로 들어오는 외부 트래픽에 매우 취약합니다.”

이 기사가 흥미로웠나요? 우리를 따라 오세요 트위터 그리고 LinkedIn에서 우리가 게시하는 더 많은 독점 콘텐츠를 읽어보세요.

Leave A Reply

Your email address will not be published.