Ingress-NGINX’dagi jiddiy zaiflik: Kubernetes klasterlarida masofadan kod bajarish xavfi
Kubernetes infratuzilmasida tashqi trafikni ichki xizmatlarga yo‘naltirish vazifasini bajaruvchi ingress-nginx kontrolleri ko‘plab tashkilotlarda asosiy kirish nuqtasi sifatida ishlatiladi. Aynan shu komponentda aniqlangan yangi va jiddiy zaiflik esa butun klasterning xavfsizligiga bevosita tahdid solmoqda.
CVE-2026-24512 identifikatori bilan ro‘yxatga olingan ushbu zaiflik autentifikatsiyadan o‘tgan foydalanuvchiga NGINX konfiguratsiyasiga zararli buyruqlar kiritish, natijada esa ixtiyoriy kod bajarish va klasterdagi maxfiy ma’lumotlarga (Secrets) ruxsatsiz kirish imkonini beradi.
Muammo nimada?
Zaiflik Ingress obyektidagi quyidagi maydonda joylashgan:
rules.http.paths.pathAgar ushbu maydonga maxsus shakllantirilgan zararli qiymat kiritilsa, u ingress-nginx tomonidan yaratiladigan NGINX konfiguratsiyasiga bevosita qo‘shilib ketadi. Bu esa oddiy marshrutlash qoidasi emas, balki konfiguratsiya injeksiyasi (configuration injection) holatini yuzaga keltiradi.
Natijada tajovuzkor:
- ingress-nginx konteyneri kontekstida ixtiyoriy kod bajarishi,
- NGINX konfiguratsiyasini o‘zgartirishi,
- Kontroller ruxsatiga ega bo‘lgan barcha Kubernetes Secrets’ni o‘qishi mumkin bo‘ladi.
Nega bu juda xavfli?
Standart o‘rnatmalarda ingress-nginx kontrolleri odatda klaster bo‘ylab ko‘plab, ba’zan esa barcha Secrets’ga kirish huquqiga ega bo‘ladi. Bu esa quyidagilarni anglatadi:
- ma’lumotlar bazasi parollari,
- API tokenlar,
- TLS sertifikatlari,
- xizmat akkauntlari tokenlari,
- bulut provayder kalitlari
hujumchi qo‘liga o‘tishi mumkin.
Zaiflikning yana bir xavotirli jihati — hujum tarmoq orqali masofadan, past murakkablikda, foydalanuvchi aralashuvisiz amalga oshirilishi mumkinligidir. Buning uchun yuqori darajadagi huquqlar ham talab etilmaydi.
Qaysi versiyalar ta’sirlangan?
| Mahsulot | Ta’sirlangan versiyalar | Tuzatilgan versiyalar |
|---|---|---|
| ingress-nginx | v1.13.7 dan oldingi | v1.13.7 va undan yuqori |
| ingress-nginx | v1.14.3 dan oldingi | v1.14.3 va undan yuqori |
Agar siz ushbu versiyalardan foydalanayotgan bo‘lsangiz, klasteringiz real xavf ostida.
Zudlik bilan bajarilishi kerak bo‘lgan choralar
Kubernetes xavfsizlik qo‘mitasi quyidagi tavsiyalarni bermoqda:
1. Zudlik bilan yangilash (eng muhim qadam)
Ingress-nginx’ni kamida quyidagi versiyalarga yangilang:
- v1.13.7
- v1.14.3
- yoki undan yangi versiyalarga
2. Vaqtinchalik himoya (agar darhol yangilab bo‘lmasa)
Validating Admission Controller joriy qiling va quyidagi qoidani qo‘llang:
ImplementationSpecificpath turidan foydalanadigan Ingress obyektlarini rad etish
Bu hujum vektorini vaqtincha yopib turadi.
3. Zaif versiyani aniqlash
Quyidagi buyruq orqali klasteringizda qaysi versiya ishlayotganini tekshirishingiz mumkin:
kubectl get pods --all-namespaces -l app.kubernetes.io/name=ingress-nginx
4. Monitoring va tekshiruv
Quyidagilarga e’tibor qarating:
- Ingress obyektlarida g‘ayritabiiy yoki shubhali
pathqiymatlari - NGINX konfiguratsiyasida kutilmagan qoidalar
- Secrets’ga noodatiy murojaatlar
Agar ekspluatatsiya alomatlari aniqlansa, zudlik bilan Kubernetes xavfsizlik jamoasi bilan bog‘lanish tavsiya etiladi.
Uzoq muddatli xavfsizlik nuqtayi nazari
Kubernetes loyihasi tomonidan e’lon qilingan ma’lumotlarga ko‘ra, yaqin kelajakda ingress-nginx loyihasining faol qo‘llab-quvvatlanishi to‘xtatilishi kutilmoqda. Bu esa tashkilotlar uchun strategik savolni yuzaga keltiradi:
Kelajakda qaysi ingress yechimiga o‘tish kerak?
Alternativ sifatida quyidagilar ko‘rib chiqilishi mumkin:
- NGINX Gateway Fabric
- Traefik
- HAProxy Ingress
- Cloud-native ingress yechimlari (AWS ALB, GCP Gateway, Azure Application Gateway)
Ingress-nginx’dagi ushbu zaiflik oddiy xatolik emas, balki butun Kubernetes klasteri ustidan nazoratni yo‘qotishga olib kelishi mumkin bo‘lgan jiddiy xavfdir. Konfiguratsiya injeksiyasi orqali kod bajarish va Secrets’ga kirish imkoniyati bu zaiflikni eng yuqori darajadagi tahdidlar qatoriga olib chiqadi.
Agar siz Kubernetes muhitida ingress-nginx’dan foydalanayotgan bo‘lsangiz, yangilashni kechiktirish — xavfni ongli ravishda qabul qilish bilan teng.
Kubernetes xavfsizligi ko‘pincha mayda konfiguratsion tafsilotlarga bog‘liq bo‘ladi. Aynan shu tafsilotlar esa ba’zan butun infratuzilmaning taqdirini belgilab beradi.
