⚡️IngressNightmare: новая атака на Ingress-Nginx ведёт к полному взлому Kubernetes
⚡️IngressNightmare: новая атака на Ingress-Nginx ведёт к полному взлому Kubernetes
💬 Специалисты Wiz выявили уязвимости в компоненте admission controller у популярного контроллера входящего трафика Ingress-Nginx для Kubernetes. Ошибки позволяют злоумышленнику удалённо выполнить произвольный код и получить полный контроль над кластером. По оценке специалистов, в интернете обнаружено более 6 500 уязвимых развертываний, включая те, что принадлежат компаниям из списка Fortune 500.
Ingress-контроллеры в Kubernetes служат связующим звеном между внешним миром и приложениями внутри кластера. Они обрабатывают ingress-объекты — правила, описывающие, какой внешний HTTP/S-трафик куда должен быть направлен. Ingress-Nginx — один из самых распространённых контроллеров, основанный на веб-сервере Nginx. Он автоматически превращает описания в ingress-объектах в конфигурационные файлы Nginx и перенаправляет трафик в нужные сервисы.
уязвимость связана с тем, как Ingress-Nginx обрабатывает такие конфигурации. Ответственным за проверку параметров конфигурации является admission controller. При получении ingress-объекта он генерирует конфигурацию Nginx и передаёт её для проверки бинарному валидатору. Именно здесь и была обнаружена ошибка: возможно внедрить вредоносную конфигурацию, которая активирует выполнение произвольного кода прямо внутри пода, где работает контроллер.
Особую опасность представляет то, что admission controller по умолчанию имеет широкие привилегии и доступ ко всем пространствам имен (namespace) внутри кластера. Успешная атака позволяет хакеру не только запустить собственный код, но и получить доступ ко всем секретам, включая конфиденциальные данные приложений и системных компонентов.
Наиболее опасная уязвимость — CVE-2025-1974 (оценка CVSS: 9.8). Недостаток позволяет удалённо выполнить код на контроллере через специально оформленный ingress-объект. Остальные уязвимости — CVE-2025-1097 , CVE-2025-1098 и CVE-2025-24514 — имеют оценку CVSS: 8.8 баллов. Самая «лёгкая» проблема — CVE-2025-24513 (оценка CVSS: 4.8).
Уязвимости получили общее название IngressNightmare. Wiz сообщила разработчикам о находке в конце 2024 года. Исправления были выпущены 10 марта 2025 года, но подробности до сих пор не раскрывались. Устранённые версии Ingress-Nginx — 1.12.1 и 1.11.5 — уже доступны для загрузки.
Однако существует риск, что не все администраторы вовремя обновят свои кластеры. Kubernetes часто используется для хостинга критичных бизнес-приложений, и обновление компонентов может оказаться непростой задачей. В таких случаях Wiz советует временно отключить компонент admission controller или ограничить к нему сетевой доступ, разрешив его только со стороны Kubernetes API Server.