IngressNightmare: критичні вразливості, що загрожують тисячам кластерів Kubernetes
Фахівці з компанії Wiz виявили чотири критичні уразливості в популярному компоненті Kubernetes — Ingress Nginx.
Що сталося
Згідно з дослідженням Wiz, знайдені вразливості (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 та CVE-2025-1974) дозволяють зловмисникам:
- Надіслати шкідливий об’єкт у контролер через зовнішню мережу
- Вносити довільні зміни в конфігурацію Nginx
- Використати механізм перевірки для виконання шкідливого коду
Як наслідок, хакери можуть отримати доступ до всіх секретів у кластері, змінювати конфігурації та навіть повністю контролювати інфраструктуру.
За оцінками дослідників, уразливі версії ingress-nginx використовуються приблизно в 43% хмарних середовищ. У процесі сканування мережі виявлено понад 6500 відкритих кластерів Kubernetes, які можуть бути атаковані через уразливі контролери з доступним для зовнішніх запитів механізмом перевірки.
Розробники вже випустили оновлення, які виправляють ці проблеми — ingress-nginx версій 1.11.5 і 1.12.1. Якщо ж оновлення неможливе, треба:
- Обмежити доступ до контролера Ingress Nginx
- Тимчасово відключити контролер Ingress Nginx, якщо це можливо
- Вимкнути функцію «Validating Admission Controller» у ingress-nginx
Щоб перевірити, чи використовується уразливий ingress-nginx, можна виконати команду:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Дослідники Wiz виявили, що хакери можуть змінювати конфігурацію Nginx через механізм перевірки, використовуючи спеціально підготовлені ingress-об’єкти. Вони з’ясували, що деякі параметри в полі .request.object.annotations безпосередньо передаються в конфігурацію Nginx. Хоча ця конфігурація не застосовується автоматично, вона проходить перевірку через запуск команди nginx -t, що дозволяє зловмисникам маніпулювати налаштуваннями системи.
Denis Melnik
Сергей Ваховский
2 коментарі
Додати коментар Підписатись на коментаріВідписатись від коментарів