Kritieke fouten in Ingress NGINX Controller maken uitvoering van externe code mogelijk
Een onlangs onthulde reeks van vijf ernstige kwetsbaarheden, nagesynchroniseerde IngressNachtmerrie door cloudbeveiligingsbedrijf Tovenaar, heeft meer dan 6,500 Kubernetes-clusters lopen risico. Deze kritieke gebreken hebben invloed op de Ingang NGINX-controller en zou niet-geverifieerde uitvoering van externe code (RCE), volledige clustercompromis mogelijk maken. de beveiligingslekken, met CVSS-scores zo hoog als 9.8, heeft geen invloed op de alternatieve NGINX Ingress Controller-implementatie voor NGINX en NGINX Plus.
Het getroffen onderdeel, de toelatingscontroller, is verantwoordelijk voor het verwerken van toelatingsaanvragen voor de Kubernetes API. Vanwege de onbeperkte netwerktoegankelijkheid en de verhoogde privileges, het wordt een belangrijk doelwit voor exploitatie.
Wiz-onderzoekers ontdekt dat kwaadwillende actoren ingress-objecten kunnen maken om AdmissionReview-verzoeken rechtstreeks naar de admission controller te sturen. Hierdoor kunnen ze willekeurige NGINX-configuraties injecteren, wat leidt tot uitvoering van code op afstand binnen de controllerpod en potentiële toegang tot alle geheimen in de naamruimten.
Details van de IngressNightmare-kwetsbaarheden
De vijf kwetsbaarheden zijn:
- CVE-2025-24513 (CVSS 4.8) — Onjuiste invoervalidatie kan leiden tot directory traversal, denial-of-service, of beperkte geheime lekkage wanneer gekoppeld aan andere gebreken.
- CVE-2025-24514 (CVSS 8.8) — Misbruik van de
auth-url
annotatie kan configuratie injecteren en willekeurige code-uitvoering mogelijk maken. - CVE-2025-1097 (CVSS 8.8) — Het exploiteren van de
auth-tls-match-cn
annotatie resulteert in configuratie-injectie en geheime openbaarmaking. - CVE-2025-1098 (CVSS 8.8) — Het manipuleren van de
mirror-target
enmirror-host
annotaties kunnen leiden tot ongeautoriseerde code-uitvoering. - CVE-2025-1974 (CVSS 9.8) — Maakt het mogelijk dat niet-geverifieerde aanvallers met toegang tot het pod-netwerk willekeurige code uitvoeren onder specifieke omstandigheden.
Exploitatiescenario en mitigatie
In een theoretische aanvalsketen die door Wiz is gedemonstreerd, een tegenstander kan een kwaadaardige gedeelde bibliotheek uploaden met behulp van de NGINX client-body bufferfunctie. Dit wordt gevolgd door een AdmissionReview-aanvraag die de bibliotheek laadt via geïnjecteerde configuratierichtlijnen, wat uiteindelijk leidt tot uitvoering van de code op afstand.
security-onderzoeker Hillai Ben-Sasson merkte op dat de aanvaller privileges kon verhogen door misbruik te maken van een krachtige Service Account, volledige toegang krijgen tot Kubernetes-geheimen en een clusterbrede overname orkestreren.
CVE-2025-1974 en de rest van de kwetsbaarheden zijn gepatcht in Ingress NGINX Controller-versies 1.12.1, 1.11.5, en 1.10.7. Gebruikers worden dringend verzocht om onmiddellijk te updaten en externe toegang tot het webhook-eindpunt voor toelating te beperken. Aanvullende maatregelen omvatten het beperken van de toegang tot de Kubernetes API-server en het uitschakelen van de admission controller als deze niet in gebruik is..
Andere recent aangepakte NGINX-kwetsbaarheden
Naast de IngressNightmare-gebreken, Er zijn verschillende andere NGINX-gerelateerde kwetsbaarheden geïdentificeerd en opgelost:
- CVE-2024-24989: NULL-pointer-dereferentie in de HTTP/3-module (vast in versie 1.27.0).
- CVE-2024-24990: Use-after-free-kwetsbaarheid in de HTTP/3 QUIC-module (versies 1.25.0–1.25.3).
- CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, en CVE-2024-35200: Een reeks van geheugencorruptie, openbaring, en buffer overflow-problemen opgelost in versies 1.27.0 en later.
- CVE-2022-41741 en CVE-2022-41742: Geheugenbeschadiging en openbaarmakingskwetsbaarheden in de ngx_http_mp4_module (vast in versies 1.23.2 en 1.22.1).
Deze gevallen benadrukken hoe belangrijk het is om op de hoogte te blijven van beveiligingspatches en officiële adviezen te monitoren om veilige implementaties van NGINX-gebaseerde oplossingen te behouden..