Falhas críticas no controlador Ingress NGINX permitem execução remota de código
Um conjunto recém-divulgado de cinco vulnerabilidades graves, apelidado IngressPesadelo por empresa de segurança em nuvem Mágico, colocou mais de 6,500 Clusters Kubernetes em risco. Essas falhas críticas impactam o Controlador NGINX de entrada e poderia permitir não autenticado execução remota de código (RCE), permitindo comprometimento total do cluster. as vulnerabilidades, com pontuações CVSS tão altas quanto 9.8, não afeta a implementação alternativa do NGINX Ingress Controller para NGINX e NGINX Plus.
O componente afetado, a controlador de admissão, é responsável por processar solicitações de admissão à API do Kubernetes. Devido à sua acessibilidade irrestrita à rede e privilégios elevados, torna-se um alvo-chave para exploração.
Pesquisadores Wiz descoberto que atores mal-intencionados podem criar objetos de entrada para enviar solicitações AdmissionReview diretamente ao controlador de admissão. Isso permite que eles injetem configuração NGINX arbitrária, o que leva à execução remota de código dentro do pod do controlador e ao acesso potencial a todos os segredos nos namespaces.
Detalhes das vulnerabilidades do IngressNightmare
As cinco vulnerabilidades são:
- CVE-2025-24513 (CVSS 4.8) — A validação de entrada inadequada pode levar à travessia de diretório, negação de serviço, ou vazamento secreto limitado quando encadeado com outras falhas.
- CVE-2025-24514 (CVSS 8.8) — Abuso do
auth-url
a anotação pode injetar configuração e permitir a execução de código arbitrário. - CVE-2025-1097 (CVSS 8.8) — Explorando o
auth-tls-match-cn
a anotação resulta em injeção de configuração e divulgação secreta. - CVE-2025-1098 (CVSS 8.8) — Manipulando o
mirror-target
emirror-host
anotações podem levar à execução de código não autorizado. - CVE-2025-1974 (CVSS 9.8) — Permite que invasores não autenticados com acesso à rede pod executem código arbitrário sob condições específicas.
Cenário de Exploração e Mitigação
Em uma cadeia de ataque teórica demonstrada por Wiz, um adversário pode carregar uma biblioteca compartilhada maliciosa usando o recurso de buffer do corpo do cliente NGINX. Isso é seguido por uma solicitação AdmissionReview que carrega a biblioteca por meio de diretivas de configuração injetadas, levando, em última análise, à execução remota de código.
Pesquisador de segurança Hillai Ben-Sasson observou que o invasor poderia aumentar os privilégios explorando uma poderosa conta de serviço, obtendo acesso total aos segredos do Kubernetes e orquestrando uma aquisição em todo o cluster.
CVE-2025-1974 e o restante das vulnerabilidades foram corrigidas Versões do controlador Ingress NGINX 1.12.1, 1.11.5, e 1.10.7. Os usuários são incentivados a atualizar imediatamente e restringir o acesso externo ao ponto de extremidade do webhook de admissão. As mitigações adicionais incluem limitar o acesso ao Kubernetes API Server e desabilitar o controlador de admissão se não estiver em uso.
Outras vulnerabilidades NGINX recentemente corrigidas
Além das falhas do IngressNightmare, várias outras vulnerabilidades relacionadas ao NGINX foram identificadas e resolvidas:
- CVE-2024-24989: Desreferência de ponteiro NULL no módulo HTTP/3 (corrigido na versão 1.27.0).
- CVE-2024-24990: Vulnerabilidade de uso após liberação no módulo QUIC HTTP/3 (versões 1.25.0–1.25.3).
- CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, e CVE-2024-35200: Uma série de corrupção de memória, divulgação, e problemas de estouro de buffer abordados nas versões 1.27.0 e depois.
- CVE-2022-41741 e CVE-2022-41742: Vulnerabilidades de corrupção e divulgação de memória no ngx_http_mp4_module (corrigido em versões 1.23.2 e 1.22.1).
Esses casos destacam a importância de se manter atualizado com os patches de segurança e monitorar os avisos oficiais para manter implantações seguras de soluções baseadas em NGINX.