Beş kritik güvenlik eksikliği seti açıklanmıştır. Ingress Nginx denetleyicisi için Kubernetes Bu, kime doğrulanmamış uzaktan kod yürütmesine neden olabilir ve 6.500’den fazla kümeyi, bileşeni genel internete maruz bırakarak anında riske atar.
9.8 CVSS skoru atanan güvenlik açıkları (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1097, CVE-2025-1098 ve CVE-2025-1974) atandı. Eksikliklerin etkilemediğini belirtmek gerekir Nginx Ingress ControllerNginx ve Nginx Plus için başka bir Ingress Controller uygulaması olan.
Şirket, “Bu güvenlik açıklarının kullanılması, Kubernetes kümesindeki tüm ad alanlarında depolanan tüm sırlara saldırganlar tarafından saklanan tüm sırlara yetkisiz erişime yol açıyor. rapor Hacker News ile paylaşıldı.
IngressnightMare, özünde, giriş denetleyicisi Kubernetes Ingress Nginx Kontrolörünün Bileşeni. Bulut ortamlarının yaklaşık% 43’ü bu güvenlik açıklarına karşı savunmasızdır.
Ingress Nginx denetleyicisi, Nginx’i ters proxy ve yük dengeleyici olarak kullanır, bu da HTTP ve HTTPS rotalarını bir kümeden içindeki hizmetlere kadar açığa çıkarmayı mümkün kılar.
Güvenlik açığı, bir Kubernetes bölmesinde konuşlandırılan giriş denetleyicilerinin kimlik doğrulama yapmadan ağ üzerinden erişilebilmesinden yararlanır.
Özellikle, doğrudan giriş denetleyicisine kötü niyetli bir giriş nesnesi (diğer adıyla kabul edilen bir nesne) göndererek keyfi bir NGINX yapılandırmasının uzaktan enjekte edilmesini içerir ve bu da Ingress Nginx denetleyicisinin kapsülünde kod yürütmeye neden olur.
Wiz, “Kabul denetleyicisinin yükseltilmiş ayrıcalıkları ve sınırsız ağ erişilebilirliği kritik bir artış yolu yaratıyor.” Diyerek şöyle devam etti: “Bu kusurdan yararlanmak, bir saldırganın keyfi kod yürütmesine ve tüm küme sırlarına ad alanlarında erişmesine izin verir, bu da tam küme devralmasına yol açabilir.”
Eksiklikler aşağıda listelenmiştir –
- CVE-2025-24514 -Auth-url ek açıklama enjeksiyonu
- CVE-2025-1097 -Auth-TLS-Match-CN ek açıklama enjeksiyonu
- CVE-2025-1098 – ayna uid enjeksiyonu
- CVE-2025-1974 – Nginx Yapılandırma Kodu Yürütme
Deneysel bir saldırı senaryosunda, bir tehdit oyuncusu Nginx’in istemci gövdesi arabellek özelliğini kullanarak paylaşılan bir kütüphane şeklinde kötü amaçlı bir yük yükü yükleyebilir ve ardından giriş denetleyicisine bir giriş isteği gönderebilir.
Talep, sırayla, paylaşılan kütüphanenin yüklenmesine neden olan ve etkili bir şekilde uzaktan kod yürütülmesine yol açan yukarıda belirtilen yapılandırma yönergesi enjeksiyonlarından birini içerir.
Wiz bulut güvenlik araştırmacısı Hillai Ben-Sasson, Hacker News’e saldırı zincirinin esasen kötü niyetli yapılandırma enjekte etmeyi ve hassas dosyaları okumak ve keyfi kod çalıştırmak için kullanmayı içerdiğini söyledi. Bu, daha sonra bir saldırganın Kubernetes sırlarını okumak ve sonuçta küme devralmayı kolaylaştırmak için güçlü bir hizmet hesabını kötüye kullanmasına izin verebilir.
Sorumlu açıklamanın ardından, Güvenlik Açıkları Ingress Nginx Denetleyici Sürümleri 1.12.1, 1.11.5 ve 1.10.7’de ele alınmıştır.
Kullanıcıların en kısa sürede en son sürüme güncellemeleri ve Giriş Webhook uç noktası harici olarak maruz kalmaz.
Etkileme olarak, giriş denetleyicisine erişmek ve gerekmiyorsa giriş denetleyicisini geçici olarak devre dışı bırakması için yalnızca Kubernetes API sunucusunu sınırlandırmanız önerilir.
