NGINX Ingress 控制器中发现新的安全漏洞

Ingress 是一种 Kubernetes 资源，可让您为 Kubernetes 上运行的应用程序（由一个或多个服务表示）配置 HTTP 负载均衡器。这样的负载均衡器对于将这些应用程序交付到 Kubernetes 集群外部的客户端来说是必需的。

Ingress 资源支持以下功能：

基于主机的路由。例如，将带有主机标头的请求路由foo.example.com到一组服务，并将带有主机标头的请求路由bar.example.com到另一组服务。
基于路径的路由。例如，将具有以开头的 URI 的请求路由/serviceA到服务 A，将具有以开头的 URI 的请求路由/serviceB到服务 B。

Kubernetes 的NGINX Ingress 控制器中披露了三个未修补的高严重性安全漏洞，威胁行为者可能会利用这些漏洞从集群中窃取秘密凭证。

漏洞如下：

CVE-2022-4886（CVSS 分数：8.8） -可以绕过Ingress-nginx路径清理来获取 ingress-nginx 控制器的凭据
CVE-2023-5043（CVSS 评分：7.6）- Ingress-nginx 注释注入导致任意命令执行
CVE-2023-5044（CVSS 评分：7.6） - 通过 nginx.ingress.kubernetes.io/permanent-redirect 注释进行代码注入

Kubernetes 安全平台 ARMO 的首席技术官兼联合创始人 Ben Hirschberg在谈到CVE-2023-5043 和 CVE-2023 时表示：“这些漏洞使能够控制 Ingress 对象配置的攻击者能够从集群中窃取秘密凭证。” 5044.

成功利用这些缺陷可能允许攻击者将任意代码注入入口控制器进程，并获得对敏感数据的未经授权的访问。

CVE-2022-4886 是由于“spec.rules[].http.paths[].path”字段中缺乏验证导致的，允许有权访问 Ingress 对象的攻击者从入口控制器中窃取 Kubernetes API 凭据。

“在Ingress 对象中，操作员可以定义将哪个传入 HTTP 路径路由到哪个内部路径，”Hirschberg 指出。“易受攻击的应用程序无法正确检查内部路径的有效性，它可能指向包含服务帐户令牌的内部文件，该令牌是针对 API 服务器进行身份验证的客户端凭据。”

在没有修复的情况下，该软件的维护者已经发布了缓解措施，其中包括启用“strict-validate-path-type”选项并设置 --enable-annotation-validation 标志以防止创建具有无效字符的 Ingress 对象和执行额外的限制。

ARMO 表示，将 NGINX 更新到版本 1.19，同时添加“--enable-annotation-validation”命令行配置，可以解决 CVE-2023-5043 和 CVE-2023-5044。

赫希伯格说：“尽管它们指向不同的方向，但所有这些漏洞都指向相同的根本问题。”

“事实上，入口控制器在设计上可以访问 TLS 机密和 Kubernetes API，这使得它们成为具有高特权范围的工作负载。此外，由于它们通常是面向公共互联网的组件，因此它们非常容易受到通过它们进入集群的外部流量的影响。”