VU#655822: Kyverno уязвим к подделке запросов на стороне сервера (SSRF)
Kyverno, движок политик Kubernetes, имеет уязвимость SSRF в версиях 1.16.0 и более поздних. Эта уязвимость возникает из-за неадекватной проверки URL-адресов в его HTTP-функциях на основе CEL (Get и Post). Политики с привязкой к пространству имен могут инициировать произвольные внутренние HTTP-запросы из-за отсутствия привязки к пространству имен в этих функциях. Злоумышленник с разрешениями на уровне пространства имен может использовать этот недостаток. Он может создать вредоносную политику для отправки внутренних запросов и извлечения ответов. Контроллер допуска Kyverno, который выполняет эти запросы, имеет привилегированный сетевой доступ. Эта уязвимость может привести к доступу к данным между пространствами имен и раскрытию конфиденциальной информации. Исправление недоступно, поэтому необходимы стратегии смягчения последствий. Они включают строгую проверку URL-адресов, контроль назначения и черные списки. Рекомендуемые меры предосторожности включают блокировку доступа к конфиденциальным диапазонам адресов и ограничение исходящих запросов. Также предлагается применение сетевых политик запрета по умолчанию к поду Kyverno. Об этой уязвимости ответственно сообщил Игорь Степанский из Orca Security Research Pod.