Contour — это контроллер входящего трафика Kubernetes, использующий прокси-сервер Envoy. В Contour до версии 1.17.1 специально созданный се…
Contour — это контроллер входящего трафика Kubernetes, использующий прокси-сервер Envoy. В Contour до версии 1.17.1 специально созданный сервис типа ExternalName может использоваться для доступа к интерфейсу администрирования Envoy, который Contour обычно предотвращает доступ из-за пределов контейнера Envoy. Это можно использовать для удаленного завершения работы Envoy (отказ в обслуживании) или для раскрытия существования любого секрета, который Envoy использует для своей конфигурации, включая, в частности, пары ключей TLS. Однако его *нельзя* использовать для получения *содержимого* этих секретов. Поскольку эта атака позволяет получить доступ к интерфейсу администрирования, доступно множество вариантов администрирования, таких как завершение работы Envoy или слив трафика. Как правило, интерфейс администрирования Envoy не может быть легко использован для внесения изменений в кластер, выполняемые запросы или серверные службы, но его можно использовать для завершения работы или слива трафика Envoy, изменения маршрутизации трафика или для получения метаданных секрета, как упоминалось выше. Эта проблема будет решена в Contour v1.18.0, и был выпущен пропатченный выпуск v1.17.1 для пользователей, которые не могут выполнить обновление в настоящее время. Для получения более подробной информации обратитесь к связанному консультативному документу по безопасности GitHub.
Продукт получает запрос, сообщение или директиву от вышестоящего компонента, однако не сохраняет должным образом исходный источник запроса перед его перенаправлением внешнему субъекту, находящемуся за пределами сферы контроля продукта. Это создаёт видимость того, что продукт является источником запроса, фактически превращая его в прокси или иного посредника между вышестоящим компонентом и внешним субъектом.
https://cwe.mitre.org/data/definitions/441.html →Открыть в коллекции CWE →Злоумышленник компрометирует промежуточную систему, используемую для обработки XML-содержимого, и принуждает её изменять и/или перенаправлять обработку содержимого. Атаки с обходом маршрутизации XML являются атаками типа «злоумышленник посередине» (CAPEC-94). Злоумышленник компрометирует или внедряет промежуточную систему в процессе обработки XML-сообщения. Например, WS-Routing может использоваться для задания ряда узлов или промежуточных элементов, через которые проходит содержимое. Если любой из промежуточных узлов в этом маршруте скомпрометирован злоумышленником, он может использоваться для атаки с обходом маршрутизации. Из скомпрометированной системы злоумышленник способен направлять XML-обработку на другие узлы по своему выбору и изменять ответы так, чтобы нормальная цепочка обработки не знала о перехвате. Данная система может пересылать сообщение внешнему объекту и скрывать пересылку и обработку от легитимных систем обработки путём изменения информации заголовка.
https://capec.mitre.org/data/definitions/219.html →Открыть в коллекции CAPEC →Прозрачный прокси-сервер выступает посредником между клиентом и сетью Интернет. Он перехватывает все запросы, исходящие от клиента, и перенаправляет их по назначению. Прокси-сервер также перехватывает все ответы, адресованные клиенту, и пересылает их клиенту. Всё это происходит прозрачно для клиента.
https://capec.mitre.org/data/definitions/465.html →Открыть в коллекции CAPEC →