CVE-2025-1974: IngressMareridtsfejl truer Kubernetes-klynger

Kritiske fejl i Ingress NGINX-controller Aktiver fjernudførelse af kode

Et nyligt offentliggjort sæt af fem alvorlige sårbarheder, døbt Ingress Nightmare af et cloud-sikkerhedsfirma Wiz, har lagt mere end 6,500 Kubernetes-klynger er i fare. Disse kritiske fejl påvirker Ingress NGINX-controller og kunne tillade uautoriseret fjernkørsel af programkode (RCE), muliggør fuld klyngekompromis. sårbarhederne, med så høje CVSS-score som 9.8, påvirker ikke den alternative NGINX Ingress Controller-implementering til NGINX og NGINX Plus.

Den berørte komponent, den optagelseskontrollant, er ansvarlig for at behandle optagelsesanmodninger til Kubernetes API. På grund af dets ubegrænsede netværkstilgængelighed og forhøjede privilegier, det bliver et nøglemål for udnyttelse.

Wiz forskere opdaget at ondsindede aktører kunne lave indgående objekter for at sende AdmissionReview-anmodninger direkte til adgangskontrollanten. Dette giver dem mulighed for at injicere vilkårlig NGINX-konfiguration, hvilket fører til fjernudførelse af kode i controller-poden og potentiel adgang til alle hemmeligheder på tværs af navneområder.

Detaljer om IngressNightmare Vulnerabilities

De fem sårbarheder er:

• CVE-2025-24513 (CVSS 4.8) — Forkert inputvalidering kan føre til kataloggennemgang, Servicenægtelse, eller begrænset hemmelig lækage, når den er lænket med andre fejl.
• CVE-2025-24514 (CVSS 8.8) — Misbrug af auth-url annotering kan injicere konfiguration og aktivere vilkårlig kodeudførelse.
• CVE-2025-1097 (CVSS 8.8) — Udnyttelse af auth-tls-match-cn annotering resulterer i konfigurationsinjektion og hemmelig afsløring.
• CVE-2025-1098 (CVSS 8.8) — Manipulering af mirror-target og mirror-host annoteringer kan føre til uautoriseret kodeudførelse.
• CVE-2025-1974 (CVSS 9.8) — Tillader uautoriserede angribere med pod-netværksadgang at udføre vilkårlig kode under specifikke forhold.

Udnyttelsesscenarie og afbødning

I en teoretisk angrebskæde demonstreret af Wiz, en modstander kan uploade et ondsindet delt bibliotek ved hjælp af NGINX client-body buffer-funktionen. Dette efterfølges af en AdmissionReview-anmodning, der indlæser biblioteket via injicerede konfigurationsdirektiver, i sidste ende fører til fjernudførelse af kode.

Sikkerhed forsker Hillai Ben-Sasson bemærkede, at angriberen kunne eskalere privilegier ved at udnytte en kraftfuld servicekonto, få fuld adgang til Kubernetes-hemmeligheder og orkestrere en overtagelse i hele klyngen.

CVE-2025-1974 og resten af sårbarhederne er blevet rettet ind Ingress NGINX Controller versioner 1.12.1, 1.11.5, og 1.10.7. Brugere opfordres til straks at opdatere og begrænse ekstern adgang til adgangswebhook-slutpunktet. Yderligere begrænsninger omfatter begrænsning af adgangen til Kubernetes API Server og deaktivering af adgangscontrolleren, hvis den ikke er i brug.

Andre nyligt rettet NGINX-sårbarheder

Ud over IngressNightmare-fejlene, flere andre NGINX-relaterede sårbarheder er blevet identificeret og løst:

• CVE-2024-24989: NULL pointer-dereference i HTTP/3-modulet (fast i version 1.27.0).
• CVE-2024-24990: Brug-efter-fri sårbarhed i HTTP/3 QUIC-modulet (versioner 1.25.0–1.25.3).
• CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, og CVE-2024-35200: En række af hukommelseskorruption, afsløring, og bufferoverløbsproblemer behandlet i versioner 1.27.0 og senere.
• CVE-2022-41741 og CVE-2022-41742: Hukommelseskorruption og afsløringssårbarheder i ngx_http_mp4_modulet (fast i versioner 1.23.2 og 1.22.1).

Disse sager fremhæver vigtigheden af at holde sig opdateret med sikkerhedsrettelser og overvåge officielle råd for at opretholde sikre implementeringer af NGINX-baserede løsninger.