El proyecto Kubernetes (CNCF) publicado Correcciones para cinco vulnerabilidades en un componente popular ampliamente utilizado Ingress Ingress Nginx Controlador utilizado para transportar el tráfico externo a Kubernetes. Si se explota, una de las fallas podría permitir a los atacantes tomar completamente el control de los grupos de contenedores enteros. "Basado en nuestro análisis, alrededor del 43 % de los entornos en la nube son vulnerables, nuestra investigación que ha permitido descubrir más de 6.500 grupos, incluidas Fortune Companies 500, que exhiben públicamente los controladores de ingreso de Kubernetes en Internet público, lo que les hace correr un riesgo crítico inmediato", escribir Investigadores de la compañía de seguridad de la nube Wiz - comprado por Google $ 32 MD, que encontraron e informaron los defectos. Llamadas colectivamente Ingressnmare por el equipo de investigación, estas infracciones se enumeran como CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 y CVE-2025-1974. Fueron corregidos en las versiones 1.12.1 y 1.11.5 Ingreso del controlador Nginx (Ingress-Nginx) Publicado el lunes. También se identificó y corregió un quinto defecto, enumerado bajo el nombre de CVE-2025-24513, en las mismas versiones.

Índice
  1. Un riesgo de inyección de configuración no autenticada
  2. Dos formas de aliviar las debilidades

Un riesgo de inyección de configuración no autenticada

Una de las funciones de Kubernetes que exhiben cargas de trabajo en Internet se llama ingreso y permite a los administradores transportar el tráfico que ingresa diferentes servicios sobre la base de reglas definidas a través de la API de Kubernetes. Hay muchos controladores de entrada, pero Ingress-Nginx, que se basa en el servidor web y el proxy inverso NGINX, es uno de los más populares y se usa comúnmente como un ejemplo en la documentación oficial. Según Wiz, más del 41 % de los grupos de Kubernetes se abren en Internet usan Ingress-Nginx.

EL Controlador de ingreso-nginx Use para tratar los objetos entrantes, cree las configuraciones NGINX correspondientes basadas en estos objetos, luego valide y úselos para decidir cómo y dónde transportar las solicitudes. Las fallas descubiertas por WIZ le dan a un atacante la capacidad de inyectar parámetros de configuración que, una vez validados, conducen a la ejecución de un código arbitrario por el validador Nginx. "El tratamiento apropiado de estos parámetros de configuración de Nginx es crucial, porque Ingress-NginX debe ofrecer a los usuarios flexibilidad significativa mientras evita que sean Nginx accidental o intencionalmente para hacer cosas que no debería hacer", dijo el equipo de Kubernetes En una publicación de blog. El problema es que el POD Engress-Nginx tiene altos privilegios y accesibilidad ilimitada a la red. Más importante aún, tiene acceso a todos los secretos del clúster predeterminado, lo que significa que un atacante que tiene éxito en ejecutar código en este pod puede robar estos secretos y tomar el control de todo el clúster.

La vulnerabilidad CVE-2025-1974 es la más grave y muestra un puntaje CVSS de 9.8. Ofrece a cualquier persona con acceso a la red POD para explotar otras vulnerabilidades de inyección de configuración, lo que de otro modo requeriría acciones privilegiadas para ser explotadas. "Combinado con los otros agujeros de seguridad de hoy, el CVE-2025-1974 significa que cualquier persona en la red POD tiene una buena oportunidad de tomar el control de su clúster Kubernetes, sin la necesidad de identificación o acceso administrativo", advirtieron a los funcionarios de Kubernetes. "En muchos escenarios actuales, la red POD es accesible para todas las cargas de trabajo en su VPC, o incluso a cualquiera conectada a su red comercial! Es una situación muy grave.» »

Dos formas de aliviar las debilidades

En términos de remediación, la mejor solución es actualizar el componente Ingress-Nginx para una de las versiones corregidas. Los administradores pueden determinar si se usa en sus clústeres escribiendo: Kubectl Get PODS -LODS-NAMESPACES -Secortor App.kubernetes.io/name=ingress-Nginx En situaciones en las que la actualización inmediata de la versión no es posible, los administradores pueden reducir los riesgos al eliminar la configuración ValidattingWebhook llamado Ingress-Nginx-ADMISS de la eliminación de los argumentos que pueden reducir los riesgos que eliminan la configuración ValidattingWebhook llamado Ingress-Nginx-ADMISS que elimina los argumentos de los argumentos que eliminan los riesgos que eliminan los argumentos de Validatting. -Validatting-Webhook del despliegue o demonios del contenedor Ingress-Nginx-Controller. Si Ingress-Lnginx se ha instalado usando Helm, se puede reinstalar con control.dmissionwebhooks.leble = false. Esto reducirá CVE-2025-1974 en particular, lo que hace que sea mucho más fácil explotar otras vulnerabilidades sin autenticación. Sin embargo, el controlador de validación no debe permanecer desactivado durante mucho tiempo porque ofrece garantías contra malas configuraciones de entrada para usuarios legítimos.