Casa > cibernético Notícias > CVE-2025-1974: Falhas do IngressNightmare ameaçam clusters do Kubernetes
CYBER NEWS

CVE-2025-1974: Falhas do IngressNightmare ameaçam clusters do Kubernetes


Falhas críticas no controlador Ingress NGINX permitem execução remota de código

Um conjunto recém-divulgado de cinco vulnerabilidades graves, apelidado IngressPesadelo por empresa de segurança em nuvem Mágico, colocou mais de 6,500 Clusters Kubernetes em risco. Essas falhas críticas impactam o Controlador NGINX de entrada e poderia permitir não autenticado execução remota de código (RCE), permitindo comprometimento total do cluster. as vulnerabilidades, com pontuações CVSS tão altas quanto 9.8, não afeta a implementação alternativa do NGINX Ingress Controller para NGINX e NGINX Plus.

O componente afetado, a controlador de admissão, é responsável por processar solicitações de admissão à API do Kubernetes. Devido à sua acessibilidade irrestrita à rede e privilégios elevados, torna-se um alvo-chave para exploração.

CVE-2025-1974 Falhas do IngressNightmare expõem clusters do Kubernetes

Pesquisadores Wiz descoberto que atores mal-intencionados podem criar objetos de entrada para enviar solicitações AdmissionReview diretamente ao controlador de admissão. Isso permite que eles injetem configuração NGINX arbitrária, o que leva à execução remota de código dentro do pod do controlador e ao acesso potencial a todos os segredos nos namespaces.




Detalhes das vulnerabilidades do IngressNightmare

As cinco vulnerabilidades são:

  • CVE-2025-24513 (CVSS 4.8) — A validação de entrada inadequada pode levar à travessia de diretório, negação de serviço, ou vazamento secreto limitado quando encadeado com outras falhas.
  • CVE-2025-24514 (CVSS 8.8) — Abuso do auth-url a anotação pode injetar configuração e permitir a execução de código arbitrário.
  • CVE-2025-1097 (CVSS 8.8) — Explorando o auth-tls-match-cn a anotação resulta em injeção de configuração e divulgação secreta.
  • CVE-2025-1098 (CVSS 8.8) — Manipulando o mirror-target e mirror-host anotações podem levar à execução de código não autorizado.
  • CVE-2025-1974 (CVSS 9.8) — Permite que invasores não autenticados com acesso à rede pod executem código arbitrário sob condições específicas.

Cenário de Exploração e Mitigação

Em uma cadeia de ataque teórica demonstrada por Wiz, um adversário pode carregar uma biblioteca compartilhada maliciosa usando o recurso de buffer do corpo do cliente NGINX. Isso é seguido por uma solicitação AdmissionReview que carrega a biblioteca por meio de diretivas de configuração injetadas, levando, em última análise, à execução remota de código.

Pesquisador de segurança Hillai Ben-Sasson observou que o invasor poderia aumentar os privilégios explorando uma poderosa conta de serviço, obtendo acesso total aos segredos do Kubernetes e orquestrando uma aquisição em todo o cluster.

CVE-2025-1974 e o restante das vulnerabilidades foram corrigidas Versões do controlador Ingress NGINX 1.12.1, 1.11.5, e 1.10.7. Os usuários são incentivados a atualizar imediatamente e restringir o acesso externo ao ponto de extremidade do webhook de admissão. As mitigações adicionais incluem limitar o acesso ao Kubernetes API Server e desabilitar o controlador de admissão se não estiver em uso.

Outras vulnerabilidades NGINX recentemente corrigidas

Além das falhas do IngressNightmare, várias outras vulnerabilidades relacionadas ao NGINX foram identificadas e resolvidas:

  • CVE-2024-24989: Desreferência de ponteiro NULL no módulo HTTP/3 (corrigido na versão 1.27.0).
  • CVE-2024-24990: Vulnerabilidade de uso após liberação no módulo QUIC HTTP/3 (versões 1.25.0–1.25.3).
  • CVE-2024-31079, CVE-2024-32760, CVE-2024-34161, e CVE-2024-35200: Uma série de corrupção de memória, divulgação, e problemas de estouro de buffer abordados nas versões 1.27.0 e depois.
  • CVE-2022-41741 e CVE-2022-41742: Vulnerabilidades de corrupção e divulgação de memória no ngx_http_mp4_module (corrigido em versões 1.23.2 e 1.22.1).

Esses casos destacam a importância de se manter atualizado com os patches de segurança e monitorar os avisos oficiais para manter implantações seguras de soluções baseadas em NGINX.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo