Ingress-NGINX Admission Controller v1.11.1に重大なRCE脆弱性が発見される

Ingress-NGINX Admission Controllerにおける重大なリモートコード実行の脆弱性

セキュリティ研究者らは、Ingress-NGINX Admission Controller バージョン1.11.1において、ファイルディスクリプタ（FD）インジェクションを介した**リモートコード実行（RCE）**を可能にする深刻な脆弱性を特定しました。このエクスプロイトは、Exploit-DB ID 52475として登録されており、このコンポーネントを利用するKubernetes環境に重大なリスクをもたらすものです。

脆弱性の技術的詳細

この脆弱性は、Admission Controllerにおけるファイルディスクリプタの不適切な処理に起因し、攻撃者が悪意のあるファイルディスクリプタをプロセスに注入できるようになります。この操作により、影響を受けるサービスの権限で任意のコードが実行される可能性があります。この脆弱性が特に懸念される理由は以下の通りです：

• リモートからの悪用が可能：攻撃者はローカルアクセスなしでこの脆弱性を悪用できます。
• 権限昇格の可能性：悪用に成功すると、Kubernetesクラスターの制御権を奪取される恐れがあります。
• 攻撃の複雑性が低い：高度な技術を必要とせず、広範囲にわたる攻撃の可能性が高まります。

現在、この脆弱性にはCVE IDは割り当てられていませんが、セキュリティチームはIngress-NGINXプロジェクトからの公式アドバイザリを注視するよう強く推奨されています。

影響分析

このRCE脆弱性は、Ingress-NGINX Admission Controller v1.11.1を使用している組織に対して高リスクをもたらします。考えられる影響としては以下が挙げられます：

• 不正なクラスターアクセス：攻撃者がKubernetesのワークロードを制御し、データ漏洩やサービス停止を引き起こす可能性があります。
• ラテラルムーブメント：侵害されたコントローラがネットワーク内でのさらなる攻撃の足がかりとなる恐れがあります。
• コンプライアンス違反：パッチ未適用のシステムは、セキュアなコンテナオーケストレーションに関する規制要件を満たせなくなる可能性があります。

セキュリティチーム向けの推奨事項

1. 即時のパッチ適用：修正版がリリースされ次第、Ingress-NGINX Admission Controllerを最新の安定バージョンにアップグレードしてください。
2. ネットワークのセグメンテーション：Admission Controllerを信頼できないネットワークから隔離し、露出を最小限に抑えてください。
3. 監視と検知：侵入検知システム（IDS）を導入し、不審なファイルディスクリプタの活動や不正なプロセス実行を検出してください。
4. アクセス制御：Admission Controllerの権限を制限し、悪用された場合の被害を最小限に抑えてください。
5. インシデント対応計画の準備：RCEインシデントに備えた封じ込めと復旧手順を策定してください。

この脆弱性は、リモートからの悪用が可能であり、Kubernetesセキュリティに対する影響が大きいため、セキュリティチームは優先的に対応する必要があります。技術的な概念実証の詳細やIngress-NGINXメンテナからの更新情報については、Exploit-DBをフォローしてください。