פרצת אבטחה חמורה ב-K8s: כ-40% מהארגונים חשופים
חברת Wiz חשפה הלילה סדרת פרצות חמורות ברכיב Ingress-Nginx הפופולרי, שמאפשרות לתוקפים להשתלט על קלאסטרים בקוברנטיס
תמונה: dreamstime
חברת Wiz חשפה הלילה (בין שני לשלישי) סדרת פרצות אבטחה חמורות ברכיב Ingress-Nginx Controller – רכיב קוד פתוח נפוץ בעולם הענן, שתפקידו לנהל את תעבורת הרשת הנכנסת לקלאסטרים ב-Kubernetes (המוכרת גם כ־K8s), מערכת קוד פתוח לניהול אוטומטי של קונטיינרים. קוברנטיס מאפשרת לארגונים לפרוס, להפעיל ולבצע איזון עומסים בין אפליקציות בסביבת ענן מבוססת מכולות.
הפרצה המרכזית שהתגלתה ממוקדת ברכיב Admission Controller – מנגנון פנימי בקוברנטיס שאחראי לאמת ולסנן אובייקטים חדשים כמו שירותים וחוקי תעבורה, בטרם יתקבלו לאשכול. כאשר רכיב זה עצמו נמצא חשוף, התוצאה עלולה להיות דרמטית. "החולשה מאפשרת לכל תוקף להשתלט לגמרי על ה-cluster, עם גישה בלתי מוגבלת לכל ה-secrets שנמצאים בו", אמר ל-ITtime ניר אוכפלד, Head of Vulnerability Research ב-Wiz. לדבריו, התנאי היחיד לניצול הפרצה הוא נגישות רשתית מינימלית – כזו שניתנת להשגה במספר דרכים נפוצות, כולל חולשות SSRF.
רכיב בסיסי – פתח למתקפה
Ingress-Nginx הוא אחד הרכיבים השימושיים ביותר בכל סביבת Kubernetes מודרנית, ומשמש gateway לתעבורה חיצונית. כאשר אפליקציה מתארחת בקאלסטר ב-קוברנטיס, השימוש ברכיב הזה כמעט מובן מאליו. "Ingress-Nginx הוא אחד הרכיבים הבסיסיים ביותר כמעט בכל cluster", אומר אוכפלד. "אם חברה בנתה את האתר או את המוצר שלה על קוברנטיס, היא כנראה משתמשת ב-ingress-nginx כדי לחשוף את השירות שלה ללקוחות".
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
התקיפה מתבצעת באמצעות שליחת אובייקט ingress תמים למראה – כזה שכולל בתוכו תצורת Nginx זדונית. בעת ש־Admission Controller מנסה לאמת את ההגדרה, מתבצעת בפועל הרצת קוד מרחוק (RCE) על הפוד שמריץ את Ingress-Nginx Controller. מכאן, הדרך לגישה מלאה לרשת, לסודות (secrets), למפתחות ולשירותים בקאלסטר – קצרה מאוד.
היקף חשיפה עצום
לפי Wiz, מעל 6,500 התקנות קוברנטיס הנגישות לאינטרנט כוללות את הרכיב הפגיע. חלק ניכר מהן אף שייכות לחברות Fortune 500, ולפי הערכות החברה, למעלה מ־40% מהארגונים שמשתמשים ב-K8s עשויים להיות חשופים. "כמות הארגונים היא עצומה, והיא כוללת את החברות הגדולות בעולם", אומר אוכפלד. הוא ממליץ לכל ארגון לבדוק את רמת החשיפה שלו, ולהיערך לתיקון באופן מיידי.
IngressNightmare: סדרת פרצות חמורות
חמש הפרצות שהתגלו במסגרת מה ש-Wiz כינתה "IngressNightmare", ממוקדות כולן באופן שבו רכיב Admission Controller מטפל בהגדרות של ingress ובאנוטציות המצורפות אליהן. אחת מהן חמורה במיוחד, והיתר נחשבות לבינוניות עד גבוהות – אך השילוב ביניהן יוצר סיכון מצטבר של ממש. הפתרון שמציעה Wiz כולל קודם כל מיפוי: "דבר ראשון שארגונים צריכים לעשות הוא למצוא את כל ה-clusters הפגיעים שלהם", מסביר אוכפלד, "כלומר כאלה שיש בהם ingress-nginx, וכמו שציינו – מדובר בלמעלה מ־40% מהאשכולות בעולם". השלב הבא הוא עדכון ידני של Ingress-Nginx בכל אשכול לגרסה האחרונה, שפורסמה לפנות בוקר.
לארגונים שלא יכולים לשדרג מיידית, Wiz ממליצה להקשיח את מדיניות הרשת כך שרק שרת ה־API של Kubernetes יוכל לגשת לרכיב Admission Controller, ובמקרים מסוימים אף לשקול השבתה זמנית של הרכיב – עד להשלמת העדכון. היקף החשיפה, קלות הניצול, והמיקום הקריטי של הרכיב באדריכלות של Kubernetes – הופכים את IngressNightmare לאחת מחשיפות האבטחה המדאיגות ביותר של השנה. מומלץ מאוד שלא להמתין.
