Kritische Fehler im Ingress NGINX Controller ermöglichen Remotecodeausführung
Eine neu aufgedeckte Reihe von fünf schwerwiegenden Schwachstellen, dubbed IngressNightmare von Cloud-Sicherheitsfirma Zauberer, hat mehr als 6,500 Kubernetes-Cluster in Gefahr. Diese kritischen Mängel wirken sich auf die Ingress NGINX-Controller und könnte nicht authentifizierten Remotecodeausführung (RCE), Ermöglichung einer vollständigen Clusterkompromittierung. die Sicherheitslücken, mit CVSS-Werten von bis zu 9.8, Beeinflussen Sie nicht die alternative NGINX Ingress Controller-Implementierung für NGINX und NGINX Plus.
Die betroffene Komponente, die Zulassungscontroller, ist verantwortlich für die Bearbeitung von Zulassungsanfragen zur Kubernetes-API. Aufgrund der uneingeschränkten Netzwerkzugänglichkeit und erhöhten Berechtigungen, es wird zu einem Hauptziel für Ausbeutung.
Wiz-Forscher entdeckt dass böswillige Akteure Ingress-Objekte erstellen könnten, um AdmissionReview-Anfragen direkt an den Zulassungscontroller zu senden. Dies ermöglicht ihnen, beliebige NGINX-Konfigurationen einzufügen, Dies führt zur Remote-Codeausführung innerhalb des Controller-Pods und zum potenziellen Zugriff auf alle Geheimnisse über Namespaces hinweg.
Details zu den IngressNightmare-Sicherheitslücken
Die fünf Schwachstellen sind:
- CVE-2025-24513 (CVSS- 4.8) — Eine unsachgemäße Eingabevalidierung kann zu einer Verzeichnisüberquerung führen, Denial-of-Service-, oder begrenztes Durchsickern von Geheimnissen in Verbindung mit anderen Mängeln.
- CVE-2025-24514 (CVSS- 8.8) — Missbrauch der
auth-url
Annotation kann Konfiguration einfügen und die Ausführung beliebigen Codes ermöglichen. - CVE-2025-1097 (CVSS- 8.8) — Ausnutzung der
auth-tls-match-cn
Annotation führt zur Konfigurationseinfügung und Offenlegung von Geheimnissen. - CVE-2025-1098 (CVSS- 8.8) — Manipulation der
mirror-target
undmirror-host
Anmerkungen können zur unberechtigten Ausführung von Code führen. - CVE-2025-1974 (CVSS- 9.8) — Ermöglicht nicht authentifizierten Angreifern mit Pod-Netzwerkzugriff unter bestimmten Bedingungen die Ausführung beliebigen Codes.
Ausnutzungsszenario und Schadensbegrenzung
In einer theoretischen Angriffskette, die von Wiz demonstriert wurde, Ein Angreifer kann mithilfe der NGINX-Client-Body-Pufferfunktion eine schädliche gemeinsam genutzte Bibliothek hochladen. Darauf folgt eine AdmissionReview-Anfrage, die die Bibliothek über eingefügte Konfigurationsanweisungen lädt, was letztendlich zur Remotecodeausführung führt.
Der Sicherheitsforscher Hillai Ben-Sasson stellte fest, dass der Angreifer seine Privilegien durch die Ausnutzung eines mächtigen Service-Kontos erhöhen könnte, Erhalten Sie vollen Zugriff auf Kubernetes-Geheimnisse und orchestrieren Sie eine clusterweite Übernahme.
CVE-2025-1974 und die restlichen Schwachstellen wurden behoben Ingress NGINX Controller-Versionen 1.12.1, 1.11.5, und 1.10.7. Benutzer werden dringend gebeten, umgehend ein Update durchzuführen und den externen Zugriff auf den Zulassungs-Webhook-Endpunkt einzuschränken.. Zu den weiteren Maßnahmen gehören die Einschränkung des Zugriffs auf den Kubernetes-API-Server und die Deaktivierung des Zulassungscontrollers, wenn dieser nicht verwendet wird..
Weitere kürzlich behobene NGINX-Sicherheitslücken
Zusätzlich zu den IngressNightmare-Fehlern, Mehrere andere NGINX-bezogene Schwachstellen wurden identifiziert und behoben:
- CVE-2024-24989: NULL-Zeiger-Dereferenzierung im HTTP/3-Modul (behoben in Version 1.27.0).
- CVE-2024-24990: Use-after-free-Schwachstelle im HTTP/3 QUIC-Modul (Versionen 1.25.0–1.25.3).
- CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, und CVE-2024-35200: Eine Reihe von Speicherbeschädigungen, Offenlegung, und Pufferüberlaufprobleme, die in den Versionen behoben wurden 1.27.0 und später.
- CVE-2022-41741 und CVE-2022-41742: Speicherbeschädigung und Offenlegungsschwachstellen im ngx_http_mp4_module (in Versionen behoben 1.23.2 und 1.22.1).
Diese Fälle unterstreichen, wie wichtig es ist, stets über aktuelle Sicherheitspatches zu verfügen und offizielle Hinweise zu beachten, um die sichere Bereitstellung von NGINX-basierten Lösungen zu gewährleisten..