Een set van vijf kritieke beveiligings tekortkomingen is bekendgemaakt in de Ingress Nginx -controller voor Kubernetes die kunnen resulteren in niet -geauthenticeerde externe code -uitvoering, waardoor meer dan 6.500 clusters onmiddellijk risico worden gebracht door de component bloot te stellen aan het openbare internet.
De kwetsbaarheden (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 en CVE-2025-1974), zijn een CVSS-score van 9,8 toegewezen van 9,8, zijn collectief gecodeerd ingedeelt door cloud-beveiligingsfirma WIZ. Het is vermeldenswaard dat de tekortkomingen geen invloed hebben op de NGINX -indresscontroller, wat een andere implementatie van Ingress -controller is voor Nginx en Nginx Plus.
“Exploitatie van deze kwetsbaarheden leidt tot ongeautoriseerde toegang tot alle geheimen die over alle naamruimten in het Kubernetes -cluster worden opgeslagen door aanvallers, wat kan leiden tot clusterovername,” zei het bedrijf in een rapport gedeeld met het Hacker News.
Ingressnightmare beïnvloedt in de kern de component van de toelatingscontroller van de ingang Nginx -controller voor Kubernetes. Ongeveer 43% van de cloudomgevingen zijn kwetsbaar voor deze kwetsbaarheden.
Ingress Nginx Controller gebruikt Nginx als een omgekeerde proxy en load balancer, waardoor het mogelijk is om HTTP- en HTTPS -routes bloot te stellen van buiten een cluster naar services erin.
De kwetsbaarheid maakt gebruik van het feit dat toelatingscontrollers, geïmplementeerd in een Kubernetes -pod, zonder authenticatie toegankelijk zijn via het netwerk.
In het bijzonder gaat het om het injecteren van een willekeurige Nginx -configuratie op afstand op afstand door een kwaadaardig Ingress -object (AKA AdmissionReview -aanvragen) rechtstreeks naar de toelatingscontroller te verzenden, wat resulteert in code -uitvoering op de Ingress NGINX -controller.
“De verhoogde privileges van de toelatingscontroller en de onbeperkte netwerktoegankelijkheid creëren een kritisch escalatiepad,” legde Wiz uit. “Door deze fout te benutten stelt een aanvaller in staat willekeurige code uit te voeren en toegang te krijgen tot alle clustergeheimen over naamruimten, die kunnen leiden tot volledige clusterovername.”
De tekortkomingen worden hieronder vermeld –
- CVE-2025-24514 -Auth-url annotatie-injectie
- CVE-2025-1097 -Auth-TLS-Match-CN annotatie-injectie
- CVE-2025-1098 – Spiegel UID -injectie
- CVE-2025-1974 – NGINX -configuratiecode -uitvoering
In een experimenteel aanvalsscenario zou een dreigingsacteur een kwaadaardige lading kunnen uploaden in de vorm van een gedeelde bibliotheek naar de POD met behulp van de client-body bufferfunctie van Nginx, gevolgd door het verzenden van een toelatingsreview-verzoek naar de toegangscontroller.
Het verzoek bevat op zijn beurt een van de bovengenoemde configuratierichtlijninjecties die ervoor zorgen dat de gedeelde bibliotheek wordt geladen, wat effectief leidt tot externe code -uitvoering.
Hillai Ben-Sasson, cloudbeveiligingsonderzoeker bij WIZ, vertelde The Hacker News dat de aanvalsketen in wezen betrekking heeft op het injecteren van kwaadaardige configuratie, en het gebruiken om gevoelige bestanden te lezen en willekeurige code uit te voeren. Dit kan vervolgens een aanvaller toestaan om een sterk service -account te misbruiken om Kubernetes -geheimen te lezen en uiteindelijk de clusterovername te vergemakkelijken.
Na verantwoorde openbaarmaking zijn de kwetsbaarheden aangepakt in Ingress NGINX Controller -versies 1.12.1, 1.11.5 en 1.10.7.
Gebruikers worden aanbevolen om zo snel mogelijk naar de nieuwste versie bij te werken en ervoor te zorgen dat het eindpunt van het Webhook -toelating niet extern wordt blootgesteld.
Als mitigaties wordt geadviseerd om alleen de Kubernetes API -server te beperken om toegang te krijgen tot de toelatingscontroller en de component van de toelatingscontroller tijdelijk uit te schakelen als deze niet nodig is.
