Обнаружены пять критических недостатков Ingress NGINX Controller для Kubernetes, позволяющих выполнять удалённое выполнение кода без аутентификации и ставящих под угрозу свыше 6500 кластеров, затрагивая около 43% облачных сред.
В перечень уязвимостей входят CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974, получившие высокий балл 9.8 по шкале CVSS. Совокупное использование этих недостатков получило кодовое название «IngressNightmare», как сообщает облачная безопасность Wiz.
Проблема затрагивает исключительно Ingress NGINX Controller для Kubernetes и не распространяется на NGINX Ingress Controller для NGINX и NGINX Plus. Проблема кроется в компоненте admission controller, развернутом в Kubernetes-поде и доступном по сети без аутентификации.
Ingress NGINX Controller работает как реверс-прокси и балансировщик, обеспечивая маршрутизацию HTTP и HTTPS запросов к внутренним сервисам. Злоумышленники могут отправлять вредоносный ingress-объект в виде AdmissionReview запроса, что приводит к внедрению произвольных конфигураций с директивами, запускающими загрузку разделяемой библиотеки.
Эксплуатация уязвимости предоставляет возможность несанкционированного доступа к секретам, распределённым между namespace, а также позволяет провести полный захват кластера. Дополнительное использование привилегированной учётной записи сервиса усугубляет эскалацию привилегий.
Уязвимость затронула версии Ingress NGINX Controller 12.1, 1.11.5 и 1.10.7, что подчёркивает необходимость немедленного обновления компонентов для минимизации рисков воздействия атаки.
Специалисты рекомендуют немедленно обновить до последней версии программного обеспечения, а также ограничить внешний доступ к endpoint-у admission webhook. Необходимо разрешать доступ исключительно через Kubernetes API Server и, при отсутствии необходимости, временно отключить компонент admission controller.
Доклад, подготовленный облачной компанией Wiz и экспертом Hillai Ben-Sasson, опубликованный в The Hacker News, подчёркивает масштаб угрозы и критическую важность своевременных мер по защите Kubernetes. Принятие указанных рекомендаций позволит существенно снизить вероятность полного захвата кластера злоумышленниками.
Изображение носит иллюстративный характер
В перечень уязвимостей входят CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 и CVE-2025-1974, получившие высокий балл 9.8 по шкале CVSS. Совокупное использование этих недостатков получило кодовое название «IngressNightmare», как сообщает облачная безопасность Wiz.
Проблема затрагивает исключительно Ingress NGINX Controller для Kubernetes и не распространяется на NGINX Ingress Controller для NGINX и NGINX Plus. Проблема кроется в компоненте admission controller, развернутом в Kubernetes-поде и доступном по сети без аутентификации.
Ingress NGINX Controller работает как реверс-прокси и балансировщик, обеспечивая маршрутизацию HTTP и HTTPS запросов к внутренним сервисам. Злоумышленники могут отправлять вредоносный ingress-объект в виде AdmissionReview запроса, что приводит к внедрению произвольных конфигураций с директивами, запускающими загрузку разделяемой библиотеки.
Эксплуатация уязвимости предоставляет возможность несанкционированного доступа к секретам, распределённым между namespace, а также позволяет провести полный захват кластера. Дополнительное использование привилегированной учётной записи сервиса усугубляет эскалацию привилегий.
Уязвимость затронула версии Ingress NGINX Controller 12.1, 1.11.5 и 1.10.7, что подчёркивает необходимость немедленного обновления компонентов для минимизации рисков воздействия атаки.
Специалисты рекомендуют немедленно обновить до последней версии программного обеспечения, а также ограничить внешний доступ к endpoint-у admission webhook. Необходимо разрешать доступ исключительно через Kubernetes API Server и, при отсутствии необходимости, временно отключить компонент admission controller.
Доклад, подготовленный облачной компанией Wiz и экспертом Hillai Ben-Sasson, опубликованный в The Hacker News, подчёркивает масштаб угрозы и критическую важность своевременных мер по защите Kubernetes. Принятие указанных рекомендаций позволит существенно снизить вероятность полного захвата кластера злоумышленниками.
