یک انجمن ویدئویی فرانسوی در Torrent  به نام World-in-HD  (WiHD)، در اثر یک اشتباه، ایمیل‌ها و گذرواژه‌های همه کاربران و مدیران خود را افشا کرد.
تیم تحقیقاتیCybernews  اخیرأ کشف کرده است که WiHD، یک ردیاب محبوب در فیلم‌های HD در Torrent، به طور ناخواسته اطلاعات ده‌ها هزار کاربر خود را افشا کرده است. ابزار WiHD یک ردیاب خصوصی است که به توزیع محتوای ویدئویی با کیفیت بالا اختصاص دارد. کاربرانی که ثبتنام کرده‌اند می‌توانند به سریال‌های تلویزیونی، فیلم‌ها، انیمیشن‌ها و سایر محتواهای فرانسوی و انگلیسی زبان دسترسی داشته باشند.
برخلاف ردیاب‌های عمومی Torrent، ردیاب‌های خصوصی اغلب فقط به صورت invitation-only عمل می‌کنند و ظاهراً استانداردهای سطح بالایی برای محتوای آپلود شده دارند. به دلیل فضای انحصاری ردیاب WiHD، بعضاً دعوت‌نامه‌های به آن به قیمت بیش از 100 دلار به فروش می‌رسد که این موضوع سبب ناراحتی گروه‌های کاربران شده است. با این حال، تیم Cybernews یک کلاستر Elasticsearch در معرض عموم را در WiHD کشف کردند که فاقد هرگونه کلمه عبور بوده است. ElasticSearch یک ابزار محبوب جهت مدیریت داده‌های با حجم‌ زیاد می‌باشد.

محصولات تحت تاثیر
به گفته تیم Cybernews، اطلاعات 97327 حساب کاربری طی این نشت اطلاعاتی، افشا شده است که شامل اطلاعات حساب‌های هر دو گروه مشتریان و مدیران WiHD است. داده‌های لو رفته عبارتند از:
•    ایمیل‌های کاربران
•    آدرس‌های IP
•    اطلاعات خدمات
•    نام‌های کاربری
•    کلمات عبور رمز شده برای همه کاربران Torrent
نشت اطلاعات حساس کاربر خطرات امنیتی قابل توجهی در پی خواهد داشت؛ برای مثال، عوامل مخرب می‌توانند آدرس‌های IP را با آدرس‌های ایمیل ترکیب کرده و مکان‌ کاربر را تشخیص دهند. همچنین مهاجمان می‌توانند فعالیت‌های غیرقانونی مختلف، از جمله ردیابی و شناسایی کاربران و راه‌اندازی حملات فیشینگ هدفمند را انجام دهند.

توصیه‌های امنیتی
به کاربران توصیه می‌شود رعایت نکات امنیتی در پیکربندی Elasticsearch را در دستور کار خود قرار دهند.

منابع خبر:

[1]https://cybernews.com/security/wihd-data-leak-exposes-torrent-users/?utm_source=signal&utm_medium=p…
[2] https://securityaffairs.com/153296/deep-web/wihd-data-leak.html
[3] https://www.itsecuritynews.info/wihd-leak-exposes-details-of-all-torrent-users/

شرکت استرالیایی Atlassian در بولتن امنیتی خود هشداری مبنی بر وجود یک آسیب‌پذیری بحرانی در محصولات Confluence Data Center و Confluence Server منتشر کرده است.
این آسیب‌پذیری دارای شناسه CVE-2023-22518، شدت 9.1 و از نوع Improper Authorization است. درواقع آسیب‌پذیری های Improper Authorization زمانی رخ می‌دهد که مهاجم قصد دارد به منبعی دسترسی داشته باشد یا عملی را انجام دهد. مهاجم با این آسیب‌پذیری امکان تخریب داد‌ها را خواهد داشت اما روی محرمانگی تاثیر گذار نیست و امکان استخراج داده ها وجود ندارد.آسیب‌پذیری در ارزیابی امنیتی خود شرکت کشف شده است و به گفته شرکت، حمله فعالی توسط این آسیب‌پذیری مشاهده نشده است.

محصولات تحت تأثیر
تمام نسخه های Confluence Data Center و Confluence Server تحت تاثیر این آسیب‌پذیری قرار گرفتند. سایت‌های Atlassian Cloud  تحت تاثیر این آسیب‌پذیری نیستند. اگه سایت Confluence شما از طریق دامنه atlassian.net  قابل دسترس است، توسط Atlassian میزبانی می‌شود و تحت تاثیر آسیب‌پذیری قرار نمی‌گیرد.

توصیه امنیتی
شرکت Atlassian به‌روزرسانی‌های امنیتی برای رفع آسیب‌پذیری در مرکز داده Confluence و نرم‌افزار سرور خود منتشر کرده است و نسخه‌های اصلاح شده محصول Confluence Data Center and Server عبارتند از:
•    7.19.16
•    8.3.4
•    8.4.4
•    8.5.3
•    8.6.1
همچنین توصیه شده، تا زمانیکه نسخه‌های وصله‌شده را اعمال نکرده‌اید، Confluenceهایی که از طریق اینترنت قابل مشاهده هستند را غیرقابل دسترس کنید.
مهر ماه 1402 نیز یک آسیب‌پذیری بحرانی با شناسه  CVE-2023-22515 در این محصول اصلاح شد که توسط گروه هکری چینی Storm-0062 معروف به DarkShadow یا Oro0lxy مورد بهره‌برداری قرار گرفته بود. همچنین با این آسیب‌پذیری زیر ساخت های باج افزار Trigona  را نیز هک کرده بودند.

در صورتی که قادر به ارتقاء نسخه Confluence Data Center and Server  خود نیستید، می‌توانید اقدامات موقتی زیر را انجام دهید:
1.    تهیه بکاپ
2.    در صورت امکان، اینترنت ابزار خود را قطع کنید و ابزارهایی که از اینترنت عمومی قابل دسترسی هستند، از دسترسی شبکه خارجی محدود شوند.
3.    اگر قادر به محدود کردن دسترسی شبکه خارجی یا ارتقاء نسخه نیستید، می‌توانید اقدامات موقتی زیر را با مسدود کردن دسترسی بهConfluence  اعمال کنید:
•    /json/setup-restore.action
•    /json/setup-restore-local.action
•    /json/setup-restore-progress.action
برای انجام این اقدامات، شما می‌توانید تغییرات زیر را در فایل‌های پیکربندی Confluence انجام دهید:
در هر گره، فایل /<confluence-install-dir>/confluence/WEB-INF/web.xml را ویرایش کنید و بلوک کد زیر را قبل از تگ </web-app> در انتهای فایل اضافه کنید:
 

سپس Confluence را مجددا راه‌اندازی کنید. توجه داشته باشید که این اقدامات موقتی هستند و جایگزین ارتقاء به نسخه وصله‌شده نخواهند بود.

 منابع و مراجع:

[1]https://confluence.atlassian.com/security/cve-2023-22518-improper-authorization-vulnerability-in-co…
[2]https://nvd.nist.gov/vuln/detail/CVE-2023-22518

اخیرا بدافزار جدیدی با نام "KandyKorn" کاربران سیستم عامل macOS را هدف حمله قرار داده است. این بدافزار که مرتبط با گروه هکری لازاروس بوده، مهندسین بلاک‌چین یک پلتفرم صرافی ارز دیجیتال را هدف قرار می‌دهد و پس از آلوده‌سازی، اطلاعات گسترده‌ای از سیستم از آدرس‌های کیف پول دیجیتال بدست اورده تا کلیدهای خصوصی تاریخچه معاملات را به سرقت برند. مهاجمان با جعل هویت کاربران جامعه ارزهای دیجیتال در کانال‌های discord، ماژول‌های مبتنی بر پایتون را منتشر و زنجیره آلودگی چندمرحله‌ای KandyKorn را راه‌اندازی کرده‌اند. به طور خلاصه، KandyKorn یک درب پشتی پنهان خاص است که قابلیت بازیابی داده، لیست کردن دایرکتوری، دانلود/آپلود فایل، حذف امن، خاتمه‌دهی به پردازه‌ها و اجرای فرمان را دارد. حمله درDiscord  با حملات مهندسی اجتماعی علیه قربانیان آغاز می‌شود و آنها را به دانلود یک آرشیو ZIP  مخرب با نام «Cross-platform Bridges.zip» سوق می‌دهد. قربانی، فریب خورده و تصور می‌کند که یک ربات آربیتراژ قانونی طراحی شده برای تولید سود خودکار از تراکنش‌های ارز دیجیتال را دانلود می‌کند. فایل زیپ دانلود شده در سیستم حاوی یک اسکریپت پایتونی با نام Main.py است که 13 ماژول پایتونی دیگر را که در فایل زیپ هستند به برنامه وارد می‌کند و به این ترتیب پیلود اولیه یعنی Watcher.py را اجرا می‌کند. اسکریپت Watcher.py در واقع یک دانلود کننده است که یک اسکریپت پایتونی دیگر با نام testSspeed.py را همراه با یک فایل پایتونی دیگر به نام FinderTools از یک آدرس گوگل درایو در سیستم دانلود می‌کند. FinderTools وظیفه واکشی و اجرای فایل باینری مبهم‌سازی شده «SugarLoader» با نام‌های .sld و.log و تحت عنوان فایل‌های اجرایی Mach-O را بر عهده دارد. SugarLoader با سرور فرماندهی و کنترل ارتباط برقرار می‌کند و پیلود نهایی، KandyKorn، را در حافظه بارگیری و اجرا می‌کند. نمایی از این زنجیره چندمرحله‌ای در شکل 1 نمایش داده شده است.
 

 کسب ماندگاری در macOS
در مرحله پایانی حمله، از بارگذاری به نام HLoader استفاده می‌شود. این بارگذار خود را به عنوان Discord جا می‌زند و از تکنیک‌های امضای کد باینری macOS استفاده می‌کند. محققین امنیتی اعلام کرده‌اند که شیوه مورد استفاده برای ماندگاری تاکنون درmacOS مشاهده نشده بوده است. HLOADER وظیفه کسب ماندگاری برای SugarLoader در سیستم را برعهده دارد. به این منظور پس از راه‌اندازی، عملیات زیر را انجام می‌دهد (شکل 3):
•    نام خود را از Discord به MacOS.tmp تغییر می‌دهد.
•    فرمت فایل باینری Discord قانونی را از .lock به Discord تغییر نام می‌دهد.
•    فایل های Discord و .log را با استفاده از NSTask.launchAndReturnError اجرا می‌کند.
•    نام هر دو فایل را به نام اولیه خود تغییر می‌دهد.
 KandyKorn 
KandyKorn پیلود پیشرفته مرحله نهایی است که برای سرقت اطلاعات از سیستم آلوده به کار برده می‌شود. این پیلود به عنوان یک سرویس در پشت زمینه فعالیت می‌کند و منتظر دریافت فرمان از سرور فرماندهی و کنترل می‌ماند. فرمان‌هایی که این بدافزار از سرور دریافت می‌کند شامل موارد زیر است: 
•    خاتمه‌دهی به برنامه
•    جمع‌آوری اطلاعات سیستم
•    فهرست گیری از دایرکتوری‌ها 
•    انتقال فایل از/به سرور فرماندهی و کنترل
•    حذف امن فایل‌ها با رونویسی صفر 
•    لیست همه پردازه‌های در حال اجرا 
•    خاتمه‌دهی به پردازه‌های خاص
•    اجرای دستورهای سیستم از طریق شبه ترمینال و دریافت خروجی 
•    راه‌اندازی یک شِل تعاملی 
•    بازیابی پیکربندی فعلی 
•    به روز رسانی پیکربندی سرور فرماندهی و کنترل
•    توقف عملیات بدافزار به صورت موقت 
منبع خبر

محققان امنیت سایبری اخیراً نسبت به بهره‌برداری از یک آسیب‌پذیری بحرانی در سرویس open-source واسطه پیام به نام Apache ActiveMQ، هشدار می‌دهند. این آسیب‌پذیری می‌تواند منجر به اجرای کد از راه دور شود. شرکت امنیت سایبری Rapid7 در گزارشی اعلام کرد: « در هر دو مورد بهره‌برداری از این آسیب‌پذیری، مهاجمان تلاش کردند با استقرار باج‌افزار در سیستم‌های هدف، از قربانیان باج‌گیری کنند». محققان اعلام کرده‌اند که تاکنون 3326 مورد سرور ActiveMQ با قابلیت دسترسی به اینترنت شناسایی شده است که تحت تأثیر آسیب‌پذیری مذکور قرار دارند. آسیب‌پذیری مورد بحث با شناسه CVE-2023-46604 و شدت 10.0، یک نقص بحرانی اجرای کد از راه دور در Apache ActiveMQ است که به مهاجم اجازه می‌دهد تا دستورات shell دلخواه را اجرا کند.
 

محصولات تحت تأثیر

محصولات و نسخه‌های زیر تحت تأثیر آسیب‌پذیری فوق قرار دارند:
•    Apache ActiveMQ 5.18.0  تا قبل ازنسخه 5.18.3
•    Apache ActiveMQ 5.17.0 تا قبل از نسخه 5.16.7
•    Apache ActiveMQ 5.15.6 و نسخه های قبل از آن
•    نسخه‌های قبل از Apache ActiveMQ 5.15.6
•    Apache ActiveMQ Legacy OpenWire Module 5.18.0 تا قبل از نسخه 5.18.3
•    Apache ActiveMQ Legacy OpenWire Module 5.17.0 تا قبل از نسخه 5.17.6
•    Apache ActiveMQ Legacy OpenWire Module 5.16.0 تا قبل از نسخه 5.16.7
•    Apache ActiveMQ Legacy OpenWire Module 5. 8.0 تا قبل از نسخه 5.15.16

توصیه‌های امنیتی
با توجه به اینکه مهاجمان همچنان در حال بهره‌برداری از این آسیب‌پذیری هستند، به کاربران توصیه می‌شود در اسرع وقت نسبت به به‌روزرسانی ActiveMQ به نسخه‌های وصله‌شده اقدام نمایند و همچنین شبکه‌های خود را جهت شناسایی تهدیدات احتمالی، اسکن کنند. آسیب‌پذیری مذکور در نسخه‌های 5.15.16، 5.16.7، 5.17.6 و 5.18.3 رفع شده است.

منبع خبر:

[1] https://thehackernews.com/2023/11/hellokitty-ransomware-group-exploiting.html?m=1

بازیگری که محققان امنیتی آن را Prolific Puma می‌نامند، حداقل چهار سال است که خدمات کوتاه‌سازی لینک را به مجرمان سایبری ارائه می‌کند، درحالی‌که به قدر کافی مخفیانه عمل می کند تا به طور ناشناخته بماند. در کمتر از یک ماه، Prolific Puma هزاران دامنه را ثبت کرده است که بسیاری از آن‌ها در دامنه سطح بالای ایالات متحده (usTLD) هستند تا به ارسال فیشینگ، کلاهبرداری و بدافزار کمک کند. محققان Infoblox، یک فروشنده امنیتی متمرکز بر DNS که روزانه 70 میلیارد درخواست DNS را بررسی می‌کند، برای اولین بار شش ماه پیش، پس از شناسایی یک الگوریتم تولید دامنه ثبت‌شده (RDGA) جهت ایجاد نام دامنه برای کوتاه کردن سرویس مخرب URL، فعالیت Prolific Puma را مشاهده کردند.
با استفاده از آشکارسازهای تخصصی DNS، محققان توانستند این شبکه مخرب را در حین تکامل ردیابی کنند و از usTLD برای تسهیل جرم در اینترنت سوءاستفاده کردند. به دلیل ماهیت خدمات کوتاه‌کننده لینک، Infoblox می‌تواند لینک‌های کوتاه را ردیابی کند. اما به جهت تعداد زیادی دامنه های به هم پیوسته با رفتار مشکوک، نمی تواند صفحه فرودهای نهایی را ردیابی کند.
برخی از لینک‌های کوتاه Prolific Puma مستقیماً به مقصد نهایی منتهی می‌شوند، اما برخی دیگر به تغییر مسیرهای متعدد، حتی سایر پیوندهای کوتاه‌شده، قبل از رسیدن به صفحه فرود اشاره می‌کنند. به دلیل این ناهماهنگی در آنچه پیوندهای کوتاه Prolific Puma بارگذاری می‌شود، محققان بر این باورند که چندین بازیگر از این سرویس استفاده می‌کنند. روش تحویل این پیوندها نیز متفاوت است و شامل رسانه‌های اجتماعی و تبلیغات می‌شود، اما شواهد نشان می‌دهد که پیام‌های متنی به‌عنوان کانال اصلی هستند.

اندازه عملیات Prolific Puma که توسط Infoblox کشف‌شده است، چشمگیر است. این بازیگر از آوریل 2022 بیش از 75000 نام دامنه منحصر به فرد را ثبت کرده است.

source: Infoblox

دامنه‌های پرکار Prolific Puma در 13 TLD پخش‌شده‌اند. بااین‌حال، از ماه مه امسال، بازیگر از usTLD برای بیش از نیمی از کل دامنه‌های ایجادشده استفاده کرده است که میانگین روزانه آن 43 است. از اواسط اکتبر، محققان نزدیک به 2000 دامنه را در usTLD مشاهده کردند که نشان‌دهنده فعالیت Prolific Puma است که پشت حفاظت از ثبت خصوصی است.
 شایان ذکر است که ثبت نام خصوصی در فضای نام.US طبق سیاست فعلی مجاز نمی‌باشد و ثبت‌نام کننده ملزم به ارائه اطلاعات دقیق و واقعی است. علاوه بر این، ثبت‌کنندگان موظف هستند که ثبت دامنه خصوصی را به ثبت کنندگان نام دامنه.US ارائه ندهند. Infoblox توانست از طریق الگوریتم‌هایی که دامنه‌های مشکوک یا مخرب را علامت‌گذاری می‌کنند، این عملیات عظیم را کشف کند. از طریق گزارش‌های جستجوی غیرفعال DNS، دامنه‌های تازه درخواست‌شده، ثبت‌شده یا پیکربندی‌شده ارزیابی می‌شوند و درصورتی‌که معیارهای مرتبط کردن آن‌ها با یک عامل تهدید DNS را داشته باشند، به‌عنوان مشکوک یا مخرب علامت‌گذاری می‌شوند.
گزارش Infoblox مجموعه‌ای از شاخص‌ها را برای فعالیت Prolific Puma ارائه می‌کند که شامل لینک های کوتاه کننده آدرس‌های IP میزبان و دامنه‌ها، تغییر مسیر و صفحات فرود و یک آدرس ایمیل موجود در داده‌های ثبت دامنه است.
منبع

آسیب‌پذیری‌ امنیتی با شناسه‌ CVE-2023-44220 و شدت 7.3 در  SonicWall شناسایی شده است که امکان DLL Search Order Hijacking  در مؤلفه  start-up DLL در SonicWall NetExtender Windows (32-bit and 64-bit) client را برای مهاجم لوکال به وجود می‌آورد. این آسیب‌پذیری منجر به اجرای دستورات دلخواه در سیستم هدف می‌شود.
همچنین آسیب‌پذیری دیگری با شناسه CVE-2023-44219 و شدت 7.3 در محصولات این شرکت کشف شده است که امکان افزایش امتیاز و دستیابی به امتیازات سیستمی از طریق اجرای ویژگی بازیابی (recovery feature)  در SonicWall Directory Services Connector Windows MSI client را برای مهاجم لوکال فراهم می‌آورد.
 

محصولات تحت تأثیر
 

توصیه‌های امنیتی

توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء محصولات تحت تأثیر به نسخه‌های وصله ‌شده اقدام نمایند.
 

منایع خبر:

[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0017
[2] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2023-0016

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-5472 و شدت بالا در Google Chrome شناسایی شده است که از راه دور امکان Use-After-Free و بهره‌برداری از طریق یک صفحه HTML دستکاری‌شده را برای مهاجم فراهم می‌آورد. تیم امنیتی کروم جزییات فنی آسیب‌پذیری مذکور را ارائه نداده‌اند و تنها اذعان داشته‌اند که آسیب‌پذیری مربوط به بخش Profiles مرورگر گوگل کروم می‌باشد و امکان اجرای کد دلخواه، انجام حمله انکار سرویس و افشای اطلاعات را از راه دور به مهاجمان خواهد داد.
 

محصولات تحت تأثیر
 

توصیه‌ امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء Google Chrome به نسخه‌ 118.0.5993.117 اقدام نمایند.

منبع خبر:

[1]https://chromereleases.googleblog.com/2023/10/stable-channel-update-for-desktop_24.html

 

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-4967 و شدت 8.2 در چند محصولCitrix  شناسایی شده است. این محصولات در صورتی که به عنوان یک Gateway (سرور مجازی VPN، پروکسی ICA، CVPN، پروکسی RDP) یا سرور مجازی AAA پیکربندی شده باشند، امکان حمله انکار سرویس را برای مهاجم فراهم می‌آورند.
 

محصولات تحت تأثیر
 

با توجه به اینکه نسخه 12.1 محصولات NetScaler ADC  وNetScaler Gateway  در حال حاضر از رده خارج شده‌اند، آسیب‌پذیر هستند.
 

توصیه‌های امنیتی
توصیه می‌شود کاربران در اسرع وقت نسبت به ارتقاء NetScaler ADC و NetScaler Gateway   به نسخه‌های وصله ‌شده اقدام نمایند.
تنها محصولات عنوان شده تحت تأثیر این آسیب‌پذیری قرار دارند و کاربرانی که از خدمات ابری مدیریت شده Citrix  (managed cloud services) یا Citrix managed Adaptive Authentication استفاده می‌کنند، نیازی به انجام هیچ اقدامی ندارند.
 

منبع خبر:

[1] https://support.citrix.com/article/CTX579459

یک آسیب‌پذیری امنیتی با شناسه CVE-2023-40685 و شدت 7.4 در IBM شناسایی شده است که امکان ارتقاء سطح دسترسی محلی جهت بدست آوردن دسترسی root به سیستم‌عامل را برای مهاجم فراهم می‌آورد. IBM i به دلیل وجود نقص در Management Central در برابر ارتقاء سطح دسترسی محلی آسیب پذیر است. این آسیب‌پذیری‌ حتی زمانی که Management Central برای مدیریت سیستم‌ها بکار گرفته نمی‌شود نیز وجود دارد.

محصولات تحت تأثیر

توصیه‌های امنیتی
به کاربران توصیه می‌شود در اسرع وقت نسخه‌های آسیب‌پذیر را به نسخه به‌روزرسانی‌شده ارتقاء دهند. 

منبع خبر:

[1] https://www.ibm.com/support/pages/node/7060686  

سه آسیب‌پذیری با شدت بالا در کنترل‌کننده NGINX Ingress در Kubernetes شناسایی شده‌اند که اگر مهاجمان بتوانند تنظیمات Ingress object را کنترل کنند، می‌توانند به داده‌های محرمانه در Kubernetes دسترسی پیدا کنند. این آسیب‌پذیری‌ها با شناسه‌های CVE-2022-4886 دارای درجه حساسیت 8.8، CVE-2023-5043 دارای درجه حساسیت 7.6 و CVE-2023-5044 دارای درجه حساسیت 7.6 قابل پیگیری بوده و در نسخه 1.19  NGINX برطرف شده‌اند.
این آسیب‌پذیری‌ها به مهاجمان امکان می‌دهند که دستورات دلخواه خود را در فرآیند ingress controller اجرا کنند و به سطح دسترسی API server Kubernetes که دارای دسترسی بالایی است، دست‌یابند. API server Kubernetes یک نقطه مرکزی برای مدیریت و تعامل با منابع Kubernetes است. 

آسیب‌پذیری با شناسه CVE-2022-4886 به علت عدم اعتبارسنجی مناسب در فیلد spec.rules[].http.paths[].path به وجود آمده است. این فیلد مشخص می‌کند که کدام مسیر HTTP  وارد شده توسط کاربر به چه سرویس داخلی Kubernetes هدایت شود. با سوءاستفاده از این آسیب‌پذیری، مهاجم می‌تواند به فایل داخلی ingress controller که حاوی توکن service account  است، دسترسی پیدا کند. این توکن service account گواهینامه احراز هویت ingress controller  برای برقراری ارتباط با API server Kubernetes است.

شناسه‌های CVE-2023-5043 و CVE-2023-5044 مربوط به دو آسیب‌پذیری هستند که به علت عدم فعال بودن پارامتر "--enable-annotation-validation" در ingress controller به وجود آمده‌اند. با استفاده از این پارامتر، ingress controller  محدودیت‌های بیشتری بر روی فضای نام annotation های Ingress object در نظر می‌گیرد. annotation ها فضای نامی هستند که در آن تغییرات رفتار ingress controller قابل تعریف هستند. با سوءاستفاده از annotation های   configuration-snippet و permanent-redirect، مهاجم می‌تواند کد دلخواه خود را در ingress controller  اجرا کند.
برای کاهش تاثیرات این آسیب‌پذیری و رفع آن، توصیه می‌شود که آخرین به‌روزرسانی NGINX به نسخه 1.19 انجام شده و دستور "--enable-annotation-validation" را در محیط خط فرمان پیکربندی اجرا کنید. همچنین، برای جلوگیری از دسترسی غیرمجاز به توکن service account، می‌توان از راه‌حل‌های امنیتی توصیه شده مانند ARMO  استفاده شود که ingress controller را با استفاده از روش‌هایی مانند encryption-in-transit  و encryption-in-rest محافظت می‌کند.

منابع: