- Actualités
- >cybersécurité
3 failles de sécurité majeures dans le contrôleur NGINX Ingress pour Kubernetes
- , Publié le 1 novembre 2023
- , à1 h 10 min
Trois failles de sécurité de haute sévérité non corrigées ont été divulguées dans le contrôleur NGINX Ingress pour Kubernetes, qui pourraient être utilisées par un acteur de menace pour voler des informations d’identification secrètes dans le cluster.
Les vulnérabilités sont les suivantes –
« Ces vulnérabilités permettent à un attaquant qui peut contrôler la configuration de l’objet Ingress de voler des informations d’identification secrètes dans le cluster », a déclaré Ben Hirschberg, directeur technique et cofondateur de la plateforme de sécurité Kubernetes ARMO, à propos des CVE-2023-5043 et CVE-2023-5044.
Une exploitation réussie de ces failles pourrait permettre à un adversaire d’injecter du code arbitraire dans le processus du contrôleur d’entrée, et d’obtenir un accès non autorisé à des données sensibles.
CVE-2022-4886, résultant d’un manque de validation dans le champ « spec.rules[].http.paths[].path », permet à un attaquant ayant accès à l’objet Ingress de siphonner les informations d’identification de l’API Kubernetes depuis le contrôleur d’entrée.
« Dans l’objet Ingress, l’opérateur peut définir quel chemin HTTP entrant est acheminé vers quel chemin interne », a noté M. Hirschberg. « L’application vulnérable ne vérifie pas correctement la validité du chemin interne et peut pointer vers le fichier interne qui contient le jeton de compte de service qui est le justificatif d’identité du client pour l’authentification auprès du serveur API.
En l’absence de correctifs, les responsables du logiciel ont publié des mesures d’atténuation qui impliquent l’activation de l’option « strict-validate-path-type » et l’activation de l’indicateur –enable-annotation-validation pour empêcher la création d’objets Ingress avec des caractères non valides et appliquer des restrictions supplémentaires.
ARMO a déclaré que la mise à jour de NGINX vers la version 1.19, ainsi que l’ajout de la configuration de ligne de commande « –enable annotation validation » résolvent les CVE 2023 5043 et CVE 2023 5044.
« Bien qu’elles pointent dans des directions différentes, toutes ces vulnérabilités pointent vers le même problème sous-jacent », a déclaré Hirschberg. « Le fait que les contrôleurs d’entrée aient accès aux secrets TLS et à l’API Kubernetes par conception en fait des charges de travail avec une portée de privilège élevée. En outre, étant donné qu’il s’agit souvent de composants publics orientés vers l’internet, ils sont très vulnérables au trafic externe entrant dans le cluster par leur intermédiaire. »
