Zdobądź $20 na łatwy start!

Zdobądź $20 na łatwy start!

Połączenia

Ceny

Cyberbezpieczeństwo Kubernetes: pilna aktualizacja Ingress-NGINX

24 березня 2025 р.

Badacze z firmy Wiz odkryli krytyczne luki w zabezpieczeniach Ingress-NGINX Controller, który jest powszechnie stosowany do zarządzania ruchem przychodzącym w klastrach Kubernetes. Luki te, nazwane IngressNightmare, umożliwiają atakującym wykonanie dowolnego kodu w klastrze, co może doprowadzić do całkowitego przejęcia kontroli nad systemem.

 

Czym jest Ingress-NGINX Controller?

 

Ingress-NGINX to popularny kontroler Ingress służący do zarządzania ruchem HTTP(S) w klastrach Kubernetes. Umożliwia trasowanie ruchu do różnych usług oraz zapewnia kontrolę dostępu i bezpieczeństwo.

 

Jego szerokie zastosowanie sprawia, że stał się celem ataków. Szczególnie narażony jest jego admission controller, który przetwarza przychodzące żądania przed ich zastosowaniem, co umożliwiło wykrycie krytycznych luk w zabezpieczeniach.

 

Lista luk w zabezpieczeniach

 

CVE-2025-1974 (CVSS 9.8) – Zdalne wykonanie kodu
Ta podatność pozwala atakującemu na wykonanie dowolnego kodu w klastrze Kubernetes. Występuje z powodu niepoprawnego przetwarzania adnotacji użytkownika w obiektach Ingress, co otwiera możliwość wstrzyknięcia złośliwych poleceń.

 

CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 (CVSS 8.8) – Wstrzyknięcie konfiguracji
Te luki są związane z przetwarzaniem przychodzących adnotacji w zasobach Ingress. Atakujący może ich użyć do zmiany konfiguracji routingu, co może prowadzić do wycieku danych lub ataku Man-in-the-Middle (MitM).

 

CVE-2025-24513 (CVSS 4.8) – Ominięcie zabezpieczeń plików
Ta podatność na umiarkowaną ciężkość pozwala atakującemu uzyskać dostęp poufnych plików w systemie, pomijając standardowe mechanizmy bezpieczeństwa.

 

Jak działają ataki?

 

Atakerzy mogą obsługiwać dane podatności, wysyłając specjalnie uformowane obiekty Ingress do kontrolera. W rezultacie mają okazję:

 

  • Wykonania dowolnych komend w kontenerze.
  • Przekierowania ruchu w klastrze.
  • Kradzieży wrażliwych danych, takich jak tokeny API i dane logowania.

 

Jak się zabezpieczyć?

 

1. Aktualizacja kontrolera Ingress-Nginx. Deweloperzy Kubernetes wydali już poprawki w wersjach 1.12.1 i 1.11.5. Zaleca się natychmiastową aktualizację kontrolera do jednej z tych wersji.


2. Ograniczenie dostępu. Zaleca się skonfigurowanie zasad sieciowych, aby dostęp do kontrolera wstępu był możliwy tylko z serwera API Kubernetes. To znacznie zmniejszy prawdopodobieństwo ataku.


3. Wyłączanie kontrolera wstępu (rozwiązanie tymczasowe). Jeśli aktualizacja jest niemożliwa, możesz tymczasowo wyłączyć kontroler wstępu, co zmniejszy ryzyko podatności.


4. Monitorowanie i audyt. Korzystanie z narzędzi monitorowania, takich jak Falco, Prometheus i Kubernetes Audyt dzienników, pomoże wykryć podejrzaną aktywność w klastrze.

 

Wynik

 

Wykryte luki w kontrolerze Ingress-Nginx podkreślają znaczenie terminowej aktualizacji Kubernetes i powiązanych komponentów. Zaleca się natychmiastowe podjęcie środków w celu ochrony klastrów, zgodnie z powyższymi zaleceniami. Bezpieczeństwo Kubernetes wymaga stałej kontroli i poprawy, aby uniknąć potencjalnych zagrożeń.

 

Połączenia

Zawartość