Huis > Cyber ​​Nieuws > CVE-2025-1974: IngressNightmare-fouten vormen een bedreiging voor Kubernetes-clusters
CYBER NEWS

CVE-2025-1974: IngressNightmare-fouten vormen een bedreiging voor Kubernetes-clusters


Kritieke fouten in Ingress NGINX Controller maken uitvoering van externe code mogelijk

Een onlangs onthulde reeks van vijf ernstige kwetsbaarheden, nagesynchroniseerde IngressNachtmerrie door cloudbeveiligingsbedrijf Tovenaar, heeft meer dan 6,500 Kubernetes-clusters lopen risico. Deze kritieke gebreken hebben invloed op de Ingang NGINX-controller en zou niet-geverifieerde uitvoering van externe code (RCE), volledige clustercompromis mogelijk maken. de beveiligingslekken, met CVSS-scores zo hoog als 9.8, heeft geen invloed op de alternatieve NGINX Ingress Controller-implementatie voor NGINX en NGINX Plus.

Het getroffen onderdeel, de toelatingscontroller, is verantwoordelijk voor het verwerken van toelatingsaanvragen voor de Kubernetes API. Vanwege de onbeperkte netwerktoegankelijkheid en de verhoogde privileges, het wordt een belangrijk doelwit voor exploitatie.

CVE-2025-1974 IngressNightmare-fouten leggen Kubernetes-clusters bloot

Wiz-onderzoekers ontdekt dat kwaadwillende actoren ingress-objecten kunnen maken om AdmissionReview-verzoeken rechtstreeks naar de admission controller te sturen. Hierdoor kunnen ze willekeurige NGINX-configuraties injecteren, wat leidt tot uitvoering van code op afstand binnen de controllerpod en potentiële toegang tot alle geheimen in de naamruimten.




Details van de IngressNightmare-kwetsbaarheden

De vijf kwetsbaarheden zijn:

  • CVE-2025-24513 (CVSS 4.8) — Onjuiste invoervalidatie kan leiden tot directory traversal, denial-of-service, of beperkte geheime lekkage wanneer gekoppeld aan andere gebreken.
  • CVE-2025-24514 (CVSS 8.8) — Misbruik van de auth-url annotatie kan configuratie injecteren en willekeurige code-uitvoering mogelijk maken.
  • CVE-2025-1097 (CVSS 8.8) — Het exploiteren van de auth-tls-match-cn annotatie resulteert in configuratie-injectie en geheime openbaarmaking.
  • CVE-2025-1098 (CVSS 8.8) — Het manipuleren van de mirror-target en mirror-host annotaties kunnen leiden tot ongeautoriseerde code-uitvoering.
  • CVE-2025-1974 (CVSS 9.8) — Maakt het mogelijk dat niet-geverifieerde aanvallers met toegang tot het pod-netwerk willekeurige code uitvoeren onder specifieke omstandigheden.

Exploitatiescenario en mitigatie

In een theoretische aanvalsketen die door Wiz is gedemonstreerd, een tegenstander kan een kwaadaardige gedeelde bibliotheek uploaden met behulp van de NGINX client-body bufferfunctie. Dit wordt gevolgd door een AdmissionReview-aanvraag die de bibliotheek laadt via geïnjecteerde configuratierichtlijnen, wat uiteindelijk leidt tot uitvoering van de code op afstand.

security-onderzoeker Hillai Ben-Sasson merkte op dat de aanvaller privileges kon verhogen door misbruik te maken van een krachtige Service Account, volledige toegang krijgen tot Kubernetes-geheimen en een clusterbrede overname orkestreren.

CVE-2025-1974 en de rest van de kwetsbaarheden zijn gepatcht in Ingress NGINX Controller-versies 1.12.1, 1.11.5, en 1.10.7. Gebruikers worden dringend verzocht om onmiddellijk te updaten en externe toegang tot het webhook-eindpunt voor toelating te beperken. Aanvullende maatregelen omvatten het beperken van de toegang tot de Kubernetes API-server en het uitschakelen van de admission controller als deze niet in gebruik is..

Andere recent aangepakte NGINX-kwetsbaarheden

Naast de IngressNightmare-gebreken, Er zijn verschillende andere NGINX-gerelateerde kwetsbaarheden geïdentificeerd en opgelost:

  • CVE-2024-24989: NULL-pointer-dereferentie in de HTTP/3-module (vast in versie 1.27.0).
  • CVE-2024-24990: Use-after-free-kwetsbaarheid in de HTTP/3 QUIC-module (versies 1.25.0–1.25.3).
  • CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, en CVE-2024-35200: Een reeks van geheugencorruptie, openbaring, en buffer overflow-problemen opgelost in versies 1.27.0 en later.
  • CVE-2022-41741 en CVE-2022-41742: Geheugenbeschadiging en openbaarmakingskwetsbaarheden in de ngx_http_mp4_module (vast in versies 1.23.2 en 1.22.1).

Deze gevallen benadrukken hoe belangrijk het is om op de hoogte te blijven van beveiligingspatches en officiële adviezen te monitoren om veilige implementaties van NGINX-gebaseerde oplossingen te behouden..

Milena Dimitrova

Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim

Meer berichten

Volg mij:
Tjilpen

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Privacybeleid.
Daar ben ik het mee eens