VU#655822: Kyverno는 서버 측 요청 위조(SSRF)에 취약합니다.
Kyverno는 Kubernetes 정책 엔진으로, 버전 1.16.0 이상에서 SSRF(서버 측 요청 위조) 취약점이 존재합니다. 이 취약점은 CEL 기반 HTTP 함수(Get 및 Post) 내에서 부적절한 URL 검증으로 인해 발생합니다. 네임스페이스 정책은 이러한 함수에서 네임스페이스 범위 지정이 없기 때문에 임의의 내부 HTTP 요청을 트리거할 수 있습니다. 네임스페이스 수준 권한을 가진 공격자는 이 취약점을 악용할 수 있습니다. 공격자는 악성 정책을 생성하여 내부 요청을 보내고 응답을 유출할 수 있습니다. 이러한 요청을 실행하는 Kyverno admission controller는 특권 네트워크 접근 권한을 가지고 있습니다. 이 취약점은 크로스 네임스페이스 데이터 접근 및 민감한 정보 노출로 이어질 수 있습니다. 패치는 아직 제공되지 않으므로 완화 전략이 필요합니다. 여기에는 엄격한 URL 검증, 대상 제어 및 차단 목록이 포함됩니다. 권장되는 보호 조치에는 민감한 주소 범위에 대한 접근 차단 및 아웃바운드 요청 제한이 포함됩니다. Kyverno pod에 기본 거부 네트워크 정책을 적용하는 것도 권장됩니다. 이 취약점은 Orca Security Research Pod의 Igor Stepansky에 의해 책임감 있게 공개되었습니다.