高危 | Kubernetes Ingress-nginx Secret 洩露漏洞

語言: CN / TW / HK

                    

點選上方   訂閱話題   第一時間瞭解漏洞威脅

0x01

漏洞狀態

漏洞細節

漏洞POC

漏洞EXP

在野利用

未公開

未公開

未公開

未知

0x02

漏洞描述

Ingress-nginx是開源的Kubernetes入口控制器,它使用NGINX作為反向代理和負載均衡器。

360漏洞雲監測到在Ingress-nginx中存在安全漏洞,可以建立或更新 Ingress 物件的使用者可以在 Ingress 物件中使用.metadata.annotations來獲取 ingress-nginx 控制器的憑據。該憑證可以訪問叢集中的所有Secret。漏洞編號: CVE-2021-25746;漏洞等級:高危;漏洞評分:7.6。

Ingress-nginx Secret 洩露漏洞

漏洞編號

CVE-2021-25746

漏洞型別

資訊洩露

漏洞等級

高危

公開狀態

未公開

在野利用

未知

漏洞描述

在Ingress-nginx中存在資訊洩露漏洞,可以建立或更新 Ingress 物件的使用者可以利用該漏洞訪問叢集中的所有 Secret。

0x03

漏洞風險

Ingress-nginx Secret 洩露漏洞

威脅等級

高危

影響面

一般

攻擊價值

利用難度

中等

漏洞評分

7.6

0x04

影響版本

Kubernetes ingress-nginx < 1.2.0

0x05

修復建議

Kubernetes 官方已經在 v1.2.0  版本的 Ingres-nginx 中修復了該漏洞,在不影響業務執行的情況下,請參考官方說明更新  Ingres-nginx 至安全版本。

如果無法使用安裝最新的安全版本,可通過將 metadata.annotations 值限制為已知安全的准入策略來緩解此漏洞

與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

0x06

時間軸

2022-04-22

Kubernetes 官方通過安全公告公佈 Ingress-nginx 中存在注入漏洞。

2022-04-24

360漏洞雲釋出安全動態。

0x07

產品側解決方案

三六零雲探安全監測系統,是一款面向黨政軍、金融、教育和網際網路使用者的綜合型SaaS化網站應用安全監測服務產品,可有效監測網站的異常,發現企業網站的安全問題,目前已可以針對此漏洞進行安全監測。

三六零磐雲安全防護系統,是集合網站配置、防護、加速、管理於一體的基於SaaS化安全防護產品,旨在解決使用者網站安全問題,目前已可以針對此漏洞進行安全防護。

360AISA全流量威脅分析系統,是基於360海量安全大資料及豐富的攻防實戰經驗,利用AI、機器學習等技術研發的新一代威脅感知產品,能夠精準發現攻擊入侵行為、高階威脅活動,目前已可以針對此漏洞進行安全防護。

360本地安全大腦,是將360雲端安全大腦核心能力本地化部署的一套開放式全場景安全運營平臺,實現安全態勢、監控、分析、溯源、研判、響應、管理的智慧化安全運營賦能。360本地安全大腦目前已可以針對此漏洞進行安全防護。

0x08

獲取更多情報

建議您訂閱360漏洞雲-漏洞情報服務,獲取更多漏洞情報詳情以及處置建議,讓您的企業遠離漏洞威脅。

電話:010-52447660

郵箱:[email protected]

網址:https://loudongyun.360.cn

- End -

360漏洞雲介紹

360安全大腦漏洞雲以技術為驅動,以安全專家為核心,圍繞漏洞生態體系打造集漏洞監測、漏洞收集、漏洞挖掘、漏洞儲存、漏洞管理、專家響應、漏洞情報預警、安全服務定製化於一體的漏洞安全一站式服務,幫助客戶防患於未然,在降低資產風險的同時,大幅提升客戶對漏洞感知、預警、分析等響應能力,為國家、政企客戶、使用者搶佔風險預警處置先機,提升網路安全主動防護能力。