Kubernetesコミュニティはセキュリティ上の脆弱性CVE-2024-7646を発見しました。これにより、ロールベースのアクセス制御 (RBAC) 権限を持つユーザーは、networking.k8s.ioまたはextensions APIグループでIngressオブジェクトを作成できます。 これらの操作は、NGINX Ingressコントローラの注釈検証をバイパスし、コマンド挿入攻撃またはNGINX Ingressコントローラの資格情報の公開につながる可能性があります。 攻撃者はこれらの資格情報を使用して、クラスターのSecretsキー情報にアクセスできます。
この脆弱性は高い重大度と評価され、その共通脆弱性スコアリングシステム (CVSS) スコアは8.8です。 この脆弱性の詳細については、「 #126744」をご参照ください。
影響を受けるバージョン
NGINX Ingressコントローラの次のバージョンは、この脆弱性の影響を受けます。
NGINX Ingressコントローラー <v1.11.2
NGINX Ingressコントローラー <v1.10.4
NGINX Ingressコントローラの次のバージョンでは、この問題を修正しています。
v1.11.2以降のバージョン
v1.10.4以降のバージョン
脆弱性への影響
この脆弱性は、NGINX Ingressコントローラーがインストールされ、実行されているクラスターにのみ影響します。 このコントローラのないクラスタは影響を受けません。
次のコマンドを実行して、NGINX Ingressコントローラーがクラスターにインストールされているかどうかを確認できます。
kubectl get po -nkube-system -A| grep -E 'nginx-ingress-controller|ingress-nginx-controller'NGINX Ingressコントローラーがクラスターにインストールされて使用されている場合、APIサーバーの監査ログを確認して、Ingressインスタンス作成ログにnginx.ingress.kubernetes.io/auth-tls-verify-clientアノテーションなどのアノテーションにキャリッジリターン (\r) が含まれているかどうかを確認できます。 これは、疑わしい攻撃イベントを示し得る。 APIサーバーの監査ログの詳細については、「クラスター監査の操作」をご参照ください。
解決策
お使いのクラスターがNGINX Ingressコントローラーを使用している場合は、NGINX Ingressコントローラーのリリースノートを確認し、脆弱性修正を含む最新バージョンにタイムリーにアップグレードすることを推奨します。 詳細については、「NGINX Ingressコントローラーの更新」をご参照ください。