в ingress-nginx нашли дыру, позволяющую выполнить код и захватить управление кластером

Nightmare

затрагивают около 43% облачных окружений

Так-так, а где длинный список потерпевших?

затрагивают около 43% облачных окружений

Облака ненужны.
/thread

Если тебе ничего обновлять не нужно, радуйся :)

От докерофагов вполне ожидаемо.

Это не эксплуатируемо снаружи. Белки-истерички как всегда паникуют.

Когда у вас локалрут в либс или ядре, то «ничего страшного», даже если кернел орг сломали. Когда сабж - докерофаги кокококо.

Это не эксплуатируемо снаружи. Белки-истерички как всегда паникуют.

Сфига ли? Там на минуточку: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H что означает что эта дыра светит в сеть. Уже больше 6.5К уязвимых кластеров насканили которые можно трогать через Admission.

Но ничего страшного на самом деле. Это поделие не имеет к nginx никакого отношения. А те кто тащат кубер в прод - должны страдать.

А как мне свои пароли вспоминать тогда?

А как мне свои пароли вспоминать тогда?

Нужно просто не забывать.

Похоже некоторые финтехи похакали, среди знакомых пошла волна карточек спертых.

Сфига ли?

Потому, что Admission Controller слушает в сети pod-ов, а не снаружи.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H что означает что эта дыра светит в сеть.

Говорю же, белки-истерички.

А те кто тащат кубер в прод - должны страдать.

На практике те, кто тащит кубер в прод - наслаждаются спокойной жизнью и улыбаются, глядя на белок-истеричек, верещащих по всем углам.

Потому, что Admission Controller слушает в сети pod-ов, а не снаружи.

@

Прям в тексте новости: По умолчанию web-обработчик Admission принимает запросы без аутентификации из публичной сети.

Никогда такого не было и вот опять. Вот таких вот «по-умолчанию» web-обработчиков и насканили в интернете более 6.5К штук жопкой наружу.

В тексте новости враньё.

На практике те, кто тащит кубер в прод - наслаждаются спокойной жизнью и улыбаются, глядя на белок-истеричек, верещащих по всем углам.

Ага, улыбаются и слюна по подбородку течет тк не осилили даже базовую настройку своего же поделия. Мамины девопсы, кек.

Хм, кому бы поверить?

Группе Wiz Research которая нашла эти дыры и опубликовала детали исследования или зайчику прячущемуся за анонимусом?

Там английским по белому написано: By default, admission controllers are accessible over the network without authentication, making them a highly appealing attack vector.

и

Based on our analysis, about 43% of cloud environments are vulnerable to these vulnerabilities, with our research uncovering over 6,500 clusters, including Fortune 500 companies, that publicly expose vulnerable Kubernetes ingress controllers’ admission controllers to the public internet—putting them at immediate critical risk.

Зачем вы спорите с тем в чем не разбирайтесь? Лучше наслаждайтесь спокойной жизнью и улыбайтесь - вы же поставили кубер в прод. разбираться в технологиях явно не ваше.

Верить надо разработчикам.

https://github.com/kubernetes/kubernetes/issues/131009

A security issue was discovered in Kubernetes where under certain conditions, an unauthenticated attacker with access to the pod network.

это любопытная казуистика не исключающая ситуацию в новости

невполне очевидно что «необходимо» а что «достаточно»

ибо пробинг делали с доступами при этом не факт что часть доступов не излишни для эксплойта

В тексте новости враньё.

Ну надеюсь вы надели шапочку из фольги.

Ещё раз. Admission Controller висит во внутренней сети кластера. К нему нет доступа снаружи ни в одной вменяемой конфигурации. Я верю, что в мире нашлось несколько тысяч дятлов, которые умудрились сконфигурировать кластер так, чтобы из него всё торчало наружу, но для этого нужно постараться. В 90% кластеров настроена виртуальная overlay сеть для внутренней сети подов. В 90% кластеров трафик идёт на лоад балансер, который уже потом его проксирует на конкретные ноды с нгинксом. Ни в том, ни в другом случае доступа к Admission Controller-у снаружи не будет.

Вся суть уязвимости только в повышении привилегий через взломанный ранее контейнер, который, конечно, уже будет в сети кластера. Да и то в любом серьёзном кластере всё дополнительно огорожено network policy, но найти кластеры без них, конечно, можно.

А так, чтобы тупо снаружи ломать кластер какими-то запросами - об этом речь не идёт. А там, где идёт, там скорей всего давно уже всё сломано.

Понятно, что Wiz хочет хайпануть, молодцы, конечно, баги серьёзные нашли, но это не тот уровень, про который верещат белки истерички.

это ж беспонтовая уязвимость уровня дебилов бесполезников. опять какой-то 23 y.o. «иксперт» нашел уязвимость галактического масштаба. как ее эксплуатировать то? там куча условий должна быть выполнена чтобы что-то сломать. не читай тот опеннет. там новости уровня желтушной газетенки из нулевых speed info

у Фейнмана байка про сейфы и полкана надзирающего - реальность вот такая

Верить надо разработчикам.

Я не верю людям с раскрашенными волосами которые пытаются прикрыть свою жопку потому что неделю назад они начали лепить «InGate» - замену Ingress и надо как-то отмывать себя от этого показав что могут писать безопасный софт (спойлер: не могут).