Niezautoryzowany atakujący z dostępem do sieci podów może wykonać dowolny kod w kontekście kontrolera ingress-nginx w Kubernetes. W domyślnej instalacji kontroler posiada dostęp do wszystkich Secrets w całym klastrze, co czyni podatność wyjątkowo groźną.
▸ Pokaż oryginał (EN)
A security issue was discovered in Kubernetes where under certain conditions, an unauthenticated attacker with access to the pod network can achieve arbitrary code execution in the context of the ingress-nginx controller. This can lead to disclosure of Secrets accessible to the controller. (Note that in the default installation, the controller can access all Secrets cluster-wide.)
Podatność dotyczy kontrolera ingress-nginx działającego w klastrze Kubernetes. Przy spełnieniu określonych warunków atakujący nieposiadający żadnego uwierzytelnienia, lecz mający dostęp do sieci podów (pod network), może doprowadzić do wykonania arbitralnego kodu (RCE) w kontekście procesu kontrolera. Wynika to z nieprawidłowej izolacji uprawnień (CWE-653 — Insufficient Compartmentalization), co pozwala na wyjście poza oczekiwane granice wykonania.
Atakujący może wykonać dowolny kod w kontekście kontrolera ingress-nginx oraz uzyskać dostęp do Kubernetes Secrets dostępnych dla kontrolera — w domyślnej konfiguracji obejmuje to wszystkie Secrets w całym klastrze, co może prowadzić do pełnego przejęcia klastra.
Należy zastosować patche dostępne u producenta zgodnie z referencjami. Jako środki zaradcze warto rozważyć ograniczenie dostępu sieciowego do sieci podów wyłącznie do zaufanych źródeł oraz ograniczenie uprawnień kontrolera ingress-nginx do Secrets zgodnie z zasadą najmniejszych uprawnień.
Klastry Kubernetes korzystające z kontrolera ingress-nginx; wersje wskazane w referencjach producenta
Dostępny publicznie exploit na Exploit-DB (exploit/52475) oraz publiczne repozytorium PoC na GitHub. Podatność określana jest potocznie jako 'IngressNightmare'. W domyślnej instalacji Kubernetes kontroler ingress-nginx ma dostęp do wszystkich Secrets cluster-wide, co znacząco zwiększa potencjalny zasięg ataku.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H