Vulnerabilidad en OpenShift (CVE-2024-6538)

Se encontró una falla en la consola OpenShift. Un ataque de server-side request forgery (SSRF) puede ocurrir si un atacante proporciona toda o parte de una URL al servidor para realizar una consulta. Se considera que el servidor está en una posición de red privilegiada y, a menudo, puede acceder a servicios expuestos que no están disponibles para los clientes debido al filtrado de la red. Al aprovechar este vector de ataque, el atacante puede tener un impacto en otros servicios y potencialmente divulgar información o tener otros efectos nefastos en el sistema. El endpoint /api/dev-console/proxy/internet en la consola OpenShift permite que los usuarios autenticados hagan que el pod de la consola realice solicitudes HTTP arbitrarias y completamente controladas. El endpoint devuelve la respuesta completa a estas solicitudes. Si bien el nombre de este endpoint sugiere que las solicitudes solo están vinculadas a Internet, no existen tales controles. Por lo tanto, un usuario autenticado puede solicitar a la consola que realice solicitudes HTTP arbitrarias desde fuera del clúster a un servicio dentro del clúster.