Kubernetesのコンポーネントingress-nginxに重大な脆弱性 推奨される対策は？：セキュリティニュースアラート

ARMOは、Kubernetesのコンポーネントingress-nginxに深刻な脆弱性があると報告した。これを悪用されると、アノテーションの検証がバイパスされ、コマンドインジェクションや認証情報にアクセスされてしまう可能性がある。

[後藤大地，有限会社オングス]

　ARMOは2024年8月18日（現地時間）、「Kubernetes」の重要なコンポーネントである「ingress-nginx」に重大な脆弱（ぜいじゃく）性（CVE-2024-7646）があると報告した。

　この脆弱性が悪用された場合、攻撃者に検証プロセスをバイパスされ、任意のコマンドインジェクションやingress-nginxコントローラーの認証情報にアクセスされてしまう可能性があるため注意が必要だ。

Kubernetesの重要コンポーネントに脆弱性　推奨される対策は？

　ingress-nginxはKubernetes環境で動作する外部アクセスを管理するためのイングレスコントローラーだ。リバースプロキシおよびロードバランサーとして動作し、受信したHTTPやHTTPSのトラフィックを定義されたルールに基づいて適切なサービスにルーティングする機能を提供する。

　CVE-2024-7646は、ingress-nginxがIngressオブジェクトのアノテーションを検証する方法の欠陥に起因する。ingress-nginxの場合、アノテーションはingressコントローラーのさまざまな動作を設定するために使用されている。攻撃者がこの脆弱性を悪用すると、特定のアノテーションに悪意のあるコンテンツを挿入することで検証プロセスをバイパスすることが可能とされている。

　影響を受けるingress-nginxのバージョンは以下の通りだ。

• ingress-nginx controller version 1.11.2より前の全てのバージョン

　修正されたingress-nginxのバージョンは以下の通りだ。

• ingress-nginx controller version 1.11.2およびこれ以降のバージョン

　影響を受けるバージョンを使用している場合、問題が修正されたバージョンに速やかにアップデートすることが推奨されている。既存のIngressオブジェクトに疑わしいアノテーションがないかどうかを監査することや厳格なロールベースアクセス制御（RBAC）を実装するなどのセキュリティ対策も推奨されている。さらにKubernetesの監査ログを有効化し、アドミッションコントローラーを使用してアノテーションを検証することも有効な手段されている。