Новости компьютерной безопасности:

  Latest News

New Kubernetes Vulnerability Allows Attackers to Access Clusters Remotely

С сайта: Vulnerability(cybersecuritynews.com)

New Kubernetes Vulnerability Allows Attackers to Access Clusters Remotely

Author: Balaji N

A critical vulnerability tracked as CVE-2024-7646, has been uncovered in the widely used ingress-nginx Kubernetes controller. The flaw allows attackers to bypass annotation validation, poses a significant risk to Kubernetes clusters, and demands immediate attention from security teams and cluster administrators.

Security researcher André Storfjord Kristiansen (@dev-bio on GitHub) discovered the vulnerability in the way ingress-nginx validates annotations on Ingress objects.

In Kubernetes, annotations attach metadata to objects, and ingress-nginx configures various behaviors of the ingress controller.

Here is a technical analysis of the Kubernetes CVE-2024-7646 vulnerability with code examples:

Technical Analysis of CVE-2024-7646
CVE-2024-7646 is a high-severity vulnerability in the ingress-nginx Kubernetes controller that allows attackers to bypass annotation validation. Let’s dive into the technical details.

According to Armosec’s research, The issue lies in how ingress-nginx validates annotations on Ingress objects. Annotations in Kubernetes are key-value pairs used to attach non-identifying metadata to objects. Ingress-nginx uses annotations to configure various behaviors of the ingress controller.

The vulnerability allows attackers to inject malicious content, including carriage return (\r) characters, into certain annotations. This bypasses validation checks and can lead to arbitrary command injection.

Here’s an example of a malicious Ingress object exploiting the vulnerability:

apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: malicious-ingress annotations: nginx.ingress.kubernetes.io/configuration-snippet: | more_set_headers "X-Malicious-Header: Benign"; more_set_headers "X-Hacked: True\r HTTP/1.1 200 OK Content-Type: text/html \r \r Hacked!
In this example, the attacker injects an HTTP response into the configuration-snippet annotation using carriage returns. When ingress-nginx processes this annotation, it fails to validate and sanitize the input properly, allowing the injected response to be returned to the client.

A successful exploit of CVE-2024-7646 can allow attackers to:

  • Inject arbitrary HTTP responses, potentially leading to XSS attacks
  • Execute arbitrary commands in the context of the ingress-nginx controller
  • Gain access to the ingress-nginx controller’s credentials, which often have broad access to cluster secrets

This is particularly dangerous in multi-tenant environments where non-admin users can create Ingress objects.

Mitigation
To mitigate this vulnerability:

  1. Upgrade ingress-nginx to v1.11.2 or later, which includes a fix.
  2. Implement strict RBAC policies to limit who can create/modify Ingress objects:

apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: namespace: ingress-nginx name: ingress-creator rules: - apiGroups: ["networking.k8s.io"] resources: ["ingresses"] verbs: ["create", "get", "list", "watch"]
  1. Use admission controllers like ValidatingAdmissionWebhook to validate Ingress objects:

func validateIngress(ar v1.AdmissionReview) *v1.AdmissionResponse { ingress := &networkingv1.Ingress{} deserializer := codecs.UniversalDeserializer() if _, _, err := deserializer.Decode(ar.Request.Object.Raw, nil, ingress); err != nil { return &v1.AdmissionResponse{Result: &metav1.Status{Message: err.Error()}} }
for _, a := range ingress.ObjectMeta.Annotations { if strings.Contains(a, "\r") { return &v1.AdmissionResponse{ Result: &metav1.Status{ Message: "Annotation contains invalid character", }, Allowed: false, } } } return &v1.AdmissionResponse{Allowed: true} }
This webhook checks for the presence of \r in annotations and rejects the Ingress if found.

  1. Enable Kubernetes audit logging to detect exploitation attempts.

The Importance of Kubernetes Security
This vulnerability serves as a stark reminder of the ongoing need for vigilance and proactive security measures in Kubernetes environments. As Kubernetes adoption continues to grow, it becomes increasingly critical to stay up-to-date with patches, adhere to security best practices, and continuously monitor for emerging threats.

Regular security audits, prompt patching, and proper implementation of RBAC and network policies are essential strategies for maintaining a robust Kubernetes security posture. Tools like the ARMO Platform can provide valuable insights into your cluster’s security state.

If you suspect this vulnerability has been exploited in your environment, contact security@kubernetes.io for guidance and support. By working together and remaining proactive, the Kubernetes community can ensure the continued resilience and security of our clusters in the face of evolving threats.



#Cyber_Security_News #Cyber_Security_Research #Vulnerability #cyber_security #vulnerability

Оригинальная версия на сайте: New Kubernetes Vulnerability Allows Attackers to Access Clusters Remotely
Вернуться к списку новостей К свежим новостям Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.

Вернуться к списку новостей Здесь был google AdSense.
Вместо рекламы товаров началась политическая агитация.
Отключено до получения извинений.


Новости проекта CSN:

✉ CSN.net4me.net

Обновление сайта csn.net4me.net

Обновление сайта csn.net4me.net 💻
cyber security news
  • Физически мы переехали на новый сервер. Благодарим наших подписчиков и постоянных читателей за терпение и понимание.
  • Сайт csn.net4me.net полностью адаптирован для работы по шифрованному SSL соединению.
  • Изменен механизм обработки и отображения опасных и критических уязвимостей.

Благодарим что вы с нами.


#CSN_обновление_сайта
https://csn.net4me.net/cyber_security_8301.html

Дополнительный материал

О проекте CSN

Проект CSN.net4me.net родился 16 Марта 2018 года.
Проект находится в самом начале своего развития. Конечно оформление, наполнение будет меняться. Одно останется неизменным - самые свежие новости компьютерной и сетевой безопасности.

О проекте net4me

Проект net4me.net развивался как сборник готовых решений и документации по темам компьютерной безопасности, сетевых решений и СПО (в часности linux). Темпы развития IT отрасли оказались столь быстрыми, что некоторые знания, технологии и информация о них устаревали мгновенно. Тем не менее, некоторый материал net4me.net до сих пор востребован.

Об источниках

Новости берутся CSN из открытых и доступных каждому источников. Авторы проекта стараются подбирать авторитетные и проверенные источники. Но, тем не менее, не несут ответственности за содержимое новостей. В каждой новости указывается источник этой новости, её автор и ссылка на оригинал новости.

Информация

Если вы желаете чтобы новости вашего ресурса были размещены на сайте CSN, то свяжитесь с авторами проекта csn@net4me.net и предложите ссылку на rss или xml ленту новостей вашего ресурса. Любая предложенная информация будет рассмотрена редакцией.