Изследователи от гиганта в областта на сигурността в облака Wiz са идентифицирали критични уязвимости, които могат да изложат клъстерите Kubernetes на отдалечено хакване.
Kubernetes е широко използвана система с отворен код за управление на контейнеризирани приложения на множество хостове. Клъстерът е набор от възли, които изпълняват такива приложения.
На откритите от Wiz уязвимости са присвоени идентификаторите CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974 и са наречени с общото име IngressNightmare, тъй като засягат контролера Ingress NGINX за Kubernetes, който служи като балансьор на натоварването и обратен прокси сървър в клъстера.
„Използването на Ingress-NGINX е един от най-разпространените методи за външно излагане на приложенията на Kubernetes“, обясни Wiz.
По-конкретно, уязвимостите IngressNightmare засягат контролера за допускане, който валидира входящите ingress обекти, преди те да бъдат разгърнати. Рискът от атаки се увеличава поради факта, че контролерите за допускане са достъпни по мрежата без удостоверяване.
Wiz заяви, че 41% от клъстерите, насочени към интернет, използват Ingress NGINX. Освен това 43% от наблюдаваните от нея облачни среди имат поне един уязвим екземпляр, а 6500 клъстера, включително такива, принадлежащи на компании от класацията Fortune 500, публично излагат уязвими контролери за допускане в интернет.
„Когато контролерът за допускане Ingress-NGINX обработва входящ обект, той конструира от него конфигурация NGINX и след това я валидира, като използва двоичния код на NGINX. Екипът ни откри уязвимост в тази фаза, която позволява инжектирането на произволна конфигурация на NGINX от разстояние чрез изпращане на злонамерен входящ обект директно към контролера за допускане през мрежата“, обясни Уиз.
„По време на фазата на валидиране на конфигурацията инжектираната конфигурация на NGINX кара валидатора на NGINX да изпълни код, което позволява отдалечено изпълнение на код (RCE) на подконтрола на NGINX на входа“, добави той.
Уязвимостите IngressNightmare в крайна сметка могат да позволят на нападателя да получи достъп до всички тайни, съхранявани във всички пространства от имена, и да поеме пълен контрол над целевия клъстер Kubernetes.
„Ingress NGINX“ е критичен инфраструктурен компонент, използван от най-големите предприятия и организации в света – от компании за изкуствен интелект до корпорации от класацията Fortune 500. Това прави хипотетичните сценарии възможно най-тежки“, заяви Нир Охфелд, ръководител на изследванията в Wiz.
„Тъй като Kubernetes служи като гръбнак на всички облачни среди, ако злонамерен участник завладее тези клъстери, той ще има възможност да получи достъп и да променя всички данни. Потенциалните последици по същество са неограничени“, казва Охфелд.
Wiz докладва своите открития на Kubernetes в края на декември 2024 г. и януари 2025 г. Версиите на контролера Ingress NGINX 1.12.1 и 1.11.5, които бяха пуснати в понеделник, трябва да поправят уязвимостите.
Потребителите трябва да актуализират възможно най-скоро, а междувременно могат да намалят риска от експлоатиране чрез смекчаващи мерки, включващи контролера за допускане: или временно да го деактивират, ако не е необходим, или да ограничат достъпа до него до сървъра Kubernetes API.
Съобщения за уязвимостите IngressNightmare са публикувани от Kubernetes, Google Cloud и Microsoft.
