Pemelihara Kubernet telah merilis tambalan untuk empat kerentanan kritis dalam pengontrol INGRESS NGINX, yang mempengaruhi 6.500, atau 41%, dari semua kelompok orkestrasi kontainer yang menghadap internet, termasuk yang digunakan oleh beberapa perusahaan Fortune 500.
Kerentanan memungkinkan penyerang jarak jauh dan tidak terautentikasi untuk melaksanakan perintah sewenang -wenang di lingkungan yang terkena dampak dan benar -benar mengambil alih kelompok Kubernetes, menurut para peneliti di Wiz yang menemukan kekurangan.
Empat paket kerentanan
Tiga dari kerentanan-CVE-2025-24514, CVE-2025-1097, dan CVE-2025-1098-memungkinkan penyerang untuk menyuntikkan arahan konfigurasi NGINX yang sewenang-wenang, termasuk aturan perutean kustom dan pengaturan keamanan, pada sistem yang terkena dampak. Namun, untuk mencapai eksekusi kode jarak jauh, penyerang perlu rantai salah satu dari tiga kerentanan ini dengan cacat keempat, CVE-2025-1974. Vektor serangan gabungan ini-yang Wiz dijuluki “IngressnightMare”-membawa skor keparahan CVSS 9,8, yang berarti itu adalah risiko kritis dan prioritas tinggi bagi organisasi yang terkena dampak.
Ingress-nginx adalah pengontrol ingress kubernetes itu memanfaatkan nginx sebagai proxy terbalik dan penyeimbang beban. Fungsinya adalah untuk mengelola dan mengarahkan lalu lintas dari sumber eksternal ke berbagai layanan di dalam cluster Kubernetes. Empat kerentanan secara khusus mempengaruhi komponen pengontrol penerimaan dari Nginx Controller untuk Kubernetes, yang bertanggung jawab untuk memvalidasi dan/atau memodifikasi objek masuk yang masuk dan sumber daya lainnya sebelum diproses oleh server API.
Wiz mengidentifikasi kerentanan dalam penanganan pengontrol penerimaan terhadap objek yang masuk, khususnya dalam terjemahan objek -objek ini ke dalam arahan konfigurasi Nginx. Karena validasi lapangan yang tidak memadai, Wiz menemukan penyerang dapat mengeksploitasi kerentanan ini terhadap bypass otentikasi API Kubernetes dan melaksanakan arahan Nginx yang tidak sah secara langsung pada pengontrol penerimaan yang terpapar.
“Selama fase validasi konfigurasi, konfigurasi Nginx yang disuntikkan menyebabkan validator nginx untuk menjalankan kode, memungkinkan eksekusi kode jarak jauh (RCE) pada pod pengontrol Nginx Ingress,” kata Wiz. “Hak istimewa yang ditinggikan pengontrol penerimaan dan aksesibilitas jaringan yang tidak dibatasi menciptakan jalur eskalasi yang kritis. Mengeksploitasi cacat ini memungkinkan penyerang untuk menjalankan kode sewenang -wenang dan mengakses semua rahasia cluster di seluruh ruang nama, yang dapat menyebabkan pengambilalihan kluster lengkap,” penjual keamanan memperingatkan.
Organisasi yang berisiko
Setiap organisasi dengan pengontrol penerimaan yang terpapar secara publik dan rentan berisiko dan perlu segera memperbarui ke pengontrol NGINX yang tetap versi 1.12.1, 1.11.5, dan v1.10.7, Wiz disarankan. Mereka yang tidak dapat menambal secepatnya harus menegakkan kebijakan untuk memastikan bahwa hanya server API Kubernetes yang dapat mengakses pengontrol penerimaan. Karena pengontrol penerimaan secara default sering dapat diakses melalui jaringan tanpa otentikasi, organisasi juga harus mempertimbangkan untuk menonaktifkan komponen jika tidak diperlukan, kata para peneliti.
“Setelah bekerja erat dengan pemelihara Kubernet selama berbulan -bulan – di mana kami menemukan beberapa kerentanan dan berulang kali melewati tambalan yang diusulkan – kami tiba di perbaikan yang sepenuhnya menutup permukaan serangan yang kami temukan,” kata Nir Ohfeld, kepala penelitian di Wiz, mengatakan. “Namun, kami masih menyarankan agar organisasi menghindari mengekspos pengontrol penerimaan mereka ke internet.”
Biasanya tidak ada alasan yang valid bagi organisasi mana pun untuk mengekspos pengontrol penerimaan di Internet. Tetapi sistem ini sering kali ditinggalkan di internet publik karena a kurangnya kesadaran, salah konfigurasi, dan kesalahan -Terutama di lingkungan multi-cluster dan hibrida yang besar dan kompleks.
Tetapi penyerang dapat mengeksploitasi kerentanan dalam situasi apa pun di mana mereka dapat memperoleh akses ke pengontrol penerimaan, Ohfeld memperingatkan. “Bahkan dalam skenario di mana [admission controllers] tidak terpapar ke internet, ada beberapa jalur serangan yang dapat dimanfaatkan oleh penyerang, “katanya.” Misalnya, penyerang dengan kerentanan SSRF sederhana dalam setiap perangkat lunak yang berjalan di cluster dapat mengeksploitasinya untuk mengakses pengontrol penerimaan dan memicu kerentanan. “
Ohfeld menilai kerentanan karena tidak terlalu sulit untuk dieksploitasi untuk penyerang yang relatif terampil.
Kerentanan di lingkungan Kubernetes dapat menjadi masalah utama bagi organisasi yang menggunakan teknologi orkestrasi kontainer. A Survei 2024 oleh Portworx dan Penelitian Dimensi menunjukkan bahwa dalam 10 tahun Kubernetes telah ada di sekitarnya telah berevolusi dari teknologi yang berkembang menjadi standar de facto untuk orkestrasi kontainer. Survei menemukan banyak organisasi menggunakan Kubernetes untuk membangun aplikasi kritis bisnis. Tujuh puluh dua persen menjalankan database bisnis-kritis di lingkungan Kubernetes, 67% menjalankan aplikasi analitik, dan 54% dari 527 responden memiliki beban kerja AI/mL pada Kubernetes. Hampir dua pertiga (65%) berencana untuk memigrasikan lingkungan mesin virtual mereka ke Kubernet dalam dua tahun ke depan.
_Vladimir_Stanisic_Alamy.jpg?disable=upscale&width=1200&height=630&fit=crop&w=300&resize=300,300&ssl=1 "Risiko menggunakan model AI yang dikembangkan oleh negara -negara yang bersaing")
![[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda](https://i0.wp.com/www.darkreading.com/assets/darkreading-C928X8LZ.ico?w=300&resize=300,300&ssl=1 "[Virtual Event] Anatomi pelanggaran data: dan apa yang harus dilakukan jika itu terjadi pada Anda")