Se ha descubierto una vulnerabilidad crítica en el controlador ingress-nginx, ampliamente utilizado en Kubernetes, lo que representa una amenaza grave para los entornos multiusuario. Identificada como CVE-2024-7646, destaca por su potencial para permitir la inyección de comandos arbitrarios.
- CVE-2024-7646 (CVSS 8.8): Esta vulnerabilidad permite la inyección de comandos en ingress-nginx. Lo cual es aprovechado por atacantes con permisos para crear objetos Ingress y de este modo eludir la validación de anotaciones, lo que genera a su vez, esta inyección de comandos arbitrarios. La explotación de esta vulnerabilidad podría generar acceso no autorizado a las credenciales del clúster, comprometiendo los datos confidenciales almacenados en los Kubernetes. Los entornos multiusuario son especialmente vulnerables, dado que existen usuarios sin permisos de administración que llegan a crear objetos Ingress y, por ende, explotar esta falla para escalar privilegios e infiltrarse en la infraestructura crítica.
Productos y versiones afectadas:
- Clústeres de Kubernetes con ingress-nginx instalado en versiones anteriores a v1.11.2.
Solución:
- La solución más eficaz es actualizar el controlador ingress-nginx a la versión v1.11.2, la cual aborda la vulnerabilidad garantizando una validación robusta de las anotaciones.
Recomendaciones:
- Actualizar inmediatamente a ingress-nginx controller v1.11.2.
- Verificar los registros de auditoría de Kubernetes para identificar cualquier objeto de Ingress sospechoso.
- Configurar políticas restrictivas de creación de objetos Ingress para usuarios no administradores.
Referencias: