Accueil > Nouvelles Cyber > CVE-2025-1974: Les failles d'IngressNightmare menacent les clusters Kubernetes
CYBER NOUVELLES

CVE-2025-1974: Les failles d'IngressNightmare menacent les clusters Kubernetes


Des failles critiques dans le contrôleur Ingress NGINX permettent l'exécution de code à distance

Un ensemble de cinq vulnérabilités graves récemment révélées, doublé IngressNightmare par une société de sécurité cloud As, a mis plus de 6,500 Les clusters Kubernetes en danger. Ces défauts critiques ont un impact sur la Contrôleur d'entrée NGINX et pourrait autoriser des données non authentifiées exécution de code distant (RCE), activer la compromission complète du cluster. les vulnérabilités, avec des scores CVSS aussi élevés que 9.8, n'affecte pas l'implémentation alternative du contrôleur d'entrée NGINX pour NGINX et NGINX Plus.

Le composant affecté, la contrôleur d'admission, est responsable du traitement des demandes d'admission à l'API Kubernetes. En raison de son accessibilité réseau illimitée et de ses privilèges élevés, il devient une cible clé pour l'exploitation.

Les failles CVE-2025-1974 d'IngressNightmare exposent les clusters Kubernetes

Les chercheurs de Wiz découvert que des acteurs malveillants pourraient créer des objets d'entrée pour envoyer des demandes AdmissionReview directement au contrôleur d'admission. Cela leur permet d'injecter une configuration NGINX arbitraire, ce qui conduit à l'exécution de code à distance dans le pod du contrôleur et à un accès potentiel à tous les secrets à travers les espaces de noms.




Détails des vulnérabilités d'IngressNightmare

Les cinq vulnérabilités sont:

  • CVE-2025-24513 (CVSS 4.8) — Une validation d'entrée incorrecte peut entraîner une traversée de répertoire, déni de service, ou une fuite secrète limitée lorsqu'elle est associée à d'autres failles.
  • CVE-2025-24514 (CVSS 8.8) — Abus de la auth-url l'annotation peut injecter une configuration et permettre l'exécution de code arbitraire.
  • CVE-2025-1097 (CVSS 8.8) — Exploiter le auth-tls-match-cn l'annotation entraîne une injection de configuration et une divulgation de secret.
  • CVE-2025-1098 (CVSS 8.8) — Manipuler le mirror-target et mirror-host les annotations peuvent conduire à l'exécution de code non autorisée.
  • CVE-2025-1974 (CVSS 9.8) — Permet aux attaquants non authentifiés disposant d'un accès au réseau pod d'exécuter du code arbitraire dans des conditions spécifiques.

Scénario d'exploitation et atténuation

Dans une chaîne d'attaque théorique démontrée par Wiz, un adversaire peut télécharger une bibliothèque partagée malveillante à l'aide de la fonctionnalité de tampon du corps du client NGINX. Ceci est suivi d'une demande AdmissionReview qui charge la bibliothèque via des directives de configuration injectées, conduisant finalement à l'exécution de code à distance.

Le chercheur en sécurité Hillai Ben-Sasson a noté que l'attaquant pourrait augmenter ses privilèges en exploitant un puissant compte de service, obtenir un accès complet aux secrets de Kubernetes et orchestrer une prise de contrôle à l'échelle du cluster.

CVE-2025-1974 et le reste des vulnérabilités ont été corrigés dans Versions du contrôleur Ingress NGINX 1.12.1, 1.11.5, et 1.10.7. Les utilisateurs sont invités à mettre à jour immédiatement et à restreindre l'accès externe au point de terminaison du webhook d'admission. Des mesures d'atténuation supplémentaires incluent la limitation de l'accès au serveur API Kubernetes et la désactivation du contrôleur d'admission s'il n'est pas utilisé.

Autres vulnérabilités NGINX récemment corrigées

En plus des défauts d'IngressNightmare, plusieurs autres vulnérabilités liées à NGINX ont été identifiées et résolues:

  • CVE-2024-24989: Déréférencement de pointeur NULL dans le module HTTP/3 (corrigé dans la version 1.27.0).
  • CVE-2024-24990: Vulnérabilité d'utilisation après libération dans le module HTTP/3 QUIC (versions 1.25.0–1.25.3).
  • CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, et CVE-2024-35200: Une série de corruption de la mémoire, divulgation, et les problèmes de dépassement de mémoire tampon résolus dans les versions 1.27.0 et ensuite.
  • CVE-2022-41741 et CVE-2022-41742: Corruption de mémoire et vulnérabilités de divulgation dans le module ngx_http_mp4_module (corrigé dans les versions 1.23.2 et 1.22.1).

Ces cas soulignent l'importance de rester à jour avec les correctifs de sécurité et de surveiller les avis officiels pour maintenir des déploiements sécurisés de solutions basées sur NGINX..

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord