VU#655822: Kyverno はサーバーサイドリクエストフォージェリ (SSRF) の脆弱性があります
Kubernetes のポリシーエンジンである Kyverno に、バージョン 1.16.0 以降で SSRF (Server-Side Request Forgery) の脆弱性が存在します。この脆弱性は、CEL (Common Expression Language) ベースの HTTP 関数 (Get および Post) 内の URL 検証が不十分であることに起因します。名前空間ポリシーは、これらの関数に名前空間スコープがないため、任意の内部 HTTP リクエストをトリガーする可能性があります。名前空間レベルの権限を持つ攻撃者は、この欠陥を悪用できます。彼らは、内部リクエストを送信し、応答を抽出するための悪意のあるポリシーを作成できます。これらのリクエストを実行する Kyverno アドミッションコントローラーは、特権的なネットワークアクセスを持っています。この脆弱性は、クロスネームスペースのデータアクセスや機密情報の漏洩につながる可能性があります。パッチは利用できないため、緩和策が必要です。これらには、厳格な URL 検証、宛先制御、およびブロックリストが含まれます。推奨される保護策には、機密アドレス範囲へのアクセスをブロックし、アウトバウンドリクエストを制限することが含まれます。Kyverno ポッドにデフォルト拒否ネットワークポリシーを適用することも推奨されます。この脆弱性は、Orca Security Research Pod の Igor Stepansky によって責任を持って開示されました。