24 березня 2025 р.
Дослідники Wiz виявили критичні уразливості в Ingress-NGINX Controller, який широко використовується для маршрутизації вхідного трафіку в кластерах Kubernetes. Уразливості, названі IngressNightmare, дозволяють зловмисникам виконувати довільний код у кластері, що може призвести до компрометації всієї системи. Розглянемо деталі цих уразливостей, методи їх використання та заходи захисту.
Що таке Ingress-NGINX Controller?
Ingress-NGINX – це популярний контролер Ingress, який використовується для керування HTTP(S)-трафіком у Kubernetes. Він дозволяє маршрутизувати запити до різних сервісів та забезпечує контроль доступу і безпеку.
Через свою популярність та широке використання, контролер став однією з головних мішеней для атак. Зокрема, його admission controller перевіряє вхідні запити перед їхнім застосуванням, і саме цей компонент виявився слабкою ланкою.
Огляд уразливостей
CVE-2025-1974 (CVSS 9.8) – Віддалене виконання коду
Ця вразливість дозволяє зловмиснику виконувати довільний код всередині кластера Kubernetes. Це відбувається через неправильну обробку анотацій користувачів у об'єктах входу, що відкриває можливість введення шкідливих команд.
CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 (CVSS 8.8) – Ін'єкція конфігурації
Ці вразливості пов'язані з обробкою вхідних анотацій у ресурсах входу. Зловмисник може використовувати їх для зміни конфігурації маршрутизації, що може призвести до витоку даних або типу атаки в середній середній (MitM).
CVE-2025-24513 (CVSS 4.8) – Обхід шляхів до файлів
Ця вразливість помірної тяжкості дозволяє зловмиснику отримувати доступ до конфіденційних файлів у системі, обходячи стандартні механізми безпеки.
Як відбуваються атаки?
Зловмисники можуть керувати даними про вразливість, надсилаючи спеціально сформовані об'єкти вступу до контролера. Як результат, вони отримують можливість:
- Виконувати довільні команди в контейнері.
- Перенаправити трафік всередині кластера.
- Для отримання конфіденційних даних, таких як маркери аутентифікації, секрети API та дані бухгалтерського обліку користувачів.
Як захиститися?
1. Оновлення Ingress-NGINX Controller. Розробники Kubernetes вже випустили виправлення у версіях 1.12.1 та 1.11.5. Рекомендується негайно оновити контролер до однієї з цих версій.
2. Обмеження доступу. Рекомендується налаштувати мережеву політику, щоб доступ до контролера вступу був можливим лише з сервера API Kubernetes. Це значно зменшить ймовірність нападу.
3. Відключення контролера прийому (тимчасове рішення). Якщо оновлення неможливе, ви можете тимчасово відключити контролер прийому, що зменшить ризик вразливості.
4. Моніторинг та аудит. Використання інструментів моніторингу, таких як Falco, Prometheus та Kubernetes Audit журналів, допоможе виявити підозрілу активність у кластері.
Отже
Виявлені вразливості в контролері Ingress-Nginx підкреслюють важливість своєчасного оновлення Kubernetes та пов'язаних компонентів. Рекомендується негайно вжити заходів для захисту кластерів, дотримуючись вищевказаних рекомендацій. Безпека Kubernetes вимагає постійного контролю та вдосконалення, щоб уникнути потенційних загроз.