For English, see below.
Beschrijving
Er zijn vijf kritieke kwetsbaarheden ontdekt in de Ingress NGINX Controller voor Kubernetes, gezamenlijk aangeduid als “IngressNightmare”, welke zich specifiek bevinden zich in de admission controller component van de Ingress NGINX Controller. Dit stelt aanvallers in staat om willekeurige code uit te voeren en kwaadaardige NGINX-configuraties te injecteren. De beveiligingslekken bevinden zich specifiek in de NGINX Controller voor Kubernetes en zijn niet van toepassing op reguliere installaties van NGINX. Vooral cloudomgevingen lijken kwetsbaar te zijn.
Misbruik is eenvoudig, vooral omdat de admission controllers vaak toegankelijk zijn via internet zonder authenticatie. De ontdekkers hebben de verschillende stappen beschreven die een aanvaller kan doorlopen om – door het combineren van deze kwetsbaarheden – het uitvoeren van willekeurige code te bereiken. Er zijn nog geen meldingen van actief misbruik, maar de verwachting is dat aanvallers snel zullen proberen hiervan misbruik te maken.
Kwetsbare versies
De kwetsbaarheden bevinden zich in onderstaande versies van de Ingress NGINX Controller:
- Ingress NGINX Controller versie 1.12.0 en eerder
- Ingress NGINX Controller versie 1.11.4 en eerder
Oplossingen en tijdelijke mitigatie
De kwetsbaarheden zijn verholpen via onderstaande patches:
- Ingress NGINX Controller versie 1.12.1
- Ingress NGINX Controller versie 1.11.5
Gebruikers van self-managed Ingress NGINX Controllers raden wij aan deze patches zo snel mogelijk te installeren om misbruik te voorkomen.
Voor gebruikers van de Ingress NGINX Controllers binnen Azure Kubernetes Services (AKS) geldt dat Microsoft de updates in de komende dagen automatisch zal uitrollen indien gebruikgemaakt wordt van een managed NGINX ingress add-on.
Meer informatie
Vragen
Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.
===== ENGLISH =====
Description
Five critical vulnerabilities have been discovered in the Ingress NGINX Controller for Kubernetes, collectively referred to as “IngressNightmare, specifically in the admission controller component of the Ingress NGINX Controller. The security flaws allow attackers to execute arbitrary code (RCE) and inject malicious NGINX configurations. The vulnerabilities are specific to the NGINX Controller for Kubernetes and do not apply to regular NGINX installations. Cloud environments, in particular, seem to be vulnerable.
Exploitation is relatively easy, especially since the admission controllers are often accessible via the internet without authentication. Researchers have described the various steps an attacker can take to achieve arbitrary code execution by combining these vulnerabilities. There have been no reports of active exploitation yet, but it is expected that attackers will soon attempt to exploit these.
Vulnerable versions
The vulnerabilities are present in the following versions of the Ingress NGINX Controller:
- Ingress NGINX Controller version 1.12.0 and earlier
- Ingress NGINX Controller version 1.11.4 and earlier
Solutions and workarounds
The vulnerabilities have been addressed through the following patches:
- Ingress NGINX Controller version 1.12.1
- Ingress NGINX Controller version 1.11.5
Users of self-managed Ingress NGINX Controllers are advised to install these patches as soon as possible to prevent exploitation.
For users of Ingress NGINX Controllers running within Azure Kubernetes Services (AKS), Microsoft will automatically roll out the updates in the coming days if a managed NGINX ingress add-on is being used.
More information
Questions
For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl. |
