24 березня 2025 р.
Badacze z firmy Wiz odkryli krytyczne luki w zabezpieczeniach Ingress-NGINX Controller, który jest powszechnie stosowany do zarządzania ruchem przychodzącym w klastrach Kubernetes. Luki te, nazwane IngressNightmare, umożliwiają atakującym wykonanie dowolnego kodu w klastrze, co może doprowadzić do całkowitego przejęcia kontroli nad systemem.
Czym jest Ingress-NGINX Controller?
Ingress-NGINX to popularny kontroler Ingress służący do zarządzania ruchem HTTP(S) w klastrach Kubernetes. Umożliwia trasowanie ruchu do różnych usług oraz zapewnia kontrolę dostępu i bezpieczeństwo.
Jego szerokie zastosowanie sprawia, że stał się celem ataków. Szczególnie narażony jest jego admission controller, który przetwarza przychodzące żądania przed ich zastosowaniem, co umożliwiło wykrycie krytycznych luk w zabezpieczeniach.
Lista luk w zabezpieczeniach
CVE-2025-1974 (CVSS 9.8) – Zdalne wykonanie kodu
Ta podatność pozwala atakującemu na wykonanie dowolnego kodu w klastrze Kubernetes. Występuje z powodu niepoprawnego przetwarzania adnotacji użytkownika w obiektach Ingress, co otwiera możliwość wstrzyknięcia złośliwych poleceń.
CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 (CVSS 8.8) – Wstrzyknięcie konfiguracji
Te luki są związane z przetwarzaniem przychodzących adnotacji w zasobach Ingress. Atakujący może ich użyć do zmiany konfiguracji routingu, co może prowadzić do wycieku danych lub ataku Man-in-the-Middle (MitM).
CVE-2025-24513 (CVSS 4.8) – Ominięcie zabezpieczeń plików
Ta podatność na umiarkowaną ciężkość pozwala atakującemu uzyskać dostęp poufnych plików w systemie, pomijając standardowe mechanizmy bezpieczeństwa.
Jak działają ataki?
Atakerzy mogą obsługiwać dane podatności, wysyłając specjalnie uformowane obiekty Ingress do kontrolera. W rezultacie mają okazję:
- Wykonania dowolnych komend w kontenerze.
- Przekierowania ruchu w klastrze.
- Kradzieży wrażliwych danych, takich jak tokeny API i dane logowania.
Jak się zabezpieczyć?
1. Aktualizacja kontrolera Ingress-Nginx. Deweloperzy Kubernetes wydali już poprawki w wersjach 1.12.1 i 1.11.5. Zaleca się natychmiastową aktualizację kontrolera do jednej z tych wersji.
2. Ograniczenie dostępu. Zaleca się skonfigurowanie zasad sieciowych, aby dostęp do kontrolera wstępu był możliwy tylko z serwera API Kubernetes. To znacznie zmniejszy prawdopodobieństwo ataku.
3. Wyłączanie kontrolera wstępu (rozwiązanie tymczasowe). Jeśli aktualizacja jest niemożliwa, możesz tymczasowo wyłączyć kontroler wstępu, co zmniejszy ryzyko podatności.
4. Monitorowanie i audyt. Korzystanie z narzędzi monitorowania, takich jak Falco, Prometheus i Kubernetes Audyt dzienników, pomoże wykryć podejrzaną aktywność w klastrze.
Wynik
Wykryte luki w kontrolerze Ingress-Nginx podkreślają znaczenie terminowej aktualizacji Kubernetes i powiązanych komponentów. Zaleca się natychmiastowe podjęcie środków w celu ochrony klastrów, zgodnie z powyższymi zaleceniami. Bezpieczeństwo Kubernetes wymaga stałej kontroli i poprawy, aby uniknąć potencjalnych zagrożeń.