Kritische Sicherheitslücke im Ingress NGINX Controller bedroht Kubernetes-Cluster

MÜNCHEN (IT BOLTWISE) – Eine Reihe von fünf kritischen Sicherheitslücken im Ingress NGINX Controller für Kubernetes könnte zu einer nicht authentifizierten Remote-Code-Ausführung führen und über 6.500 Cluster gefährden, indem sie die Komponente dem öffentlichen Internet aussetzen.

Die kürzlich aufgedeckten Sicherheitslücken im Ingress NGINX Controller für Kubernetes haben die IT-Welt in Alarmbereitschaft versetzt. Diese Schwachstellen, die unter dem Namen IngressNightmare bekannt sind, könnten es Angreifern ermöglichen, ohne Authentifizierung auf die Systeme zuzugreifen und schädlichen Code auszuführen. Besonders besorgniserregend ist, dass diese Lücken über 6.500 Kubernetes-Cluster betreffen, die dem öffentlichen Internet ausgesetzt sind.

Die Sicherheitslücken, die mit den CVE-Nummern CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 und CVE-2025-1974 versehen sind, wurden von der Cloud-Sicherheitsfirma Wiz entdeckt. Mit einem CVSS-Wert von 9,8 eingestuft, stellen sie eine erhebliche Bedrohung dar. Es ist wichtig zu betonen, dass der NGINX Ingress Controller, eine andere Implementierung für NGINX und NGINX Plus, nicht betroffen ist.

Die Schwachstellen betreffen den Admission Controller des Ingress NGINX Controllers, der als Reverse Proxy und Load Balancer fungiert. Diese Komponente ermöglicht es, HTTP- und HTTPS-Routen von außerhalb eines Clusters zu Diensten innerhalb des Clusters zu exponieren. Die Sicherheitslücke nutzt die Tatsache aus, dass Admission Controller, die innerhalb eines Kubernetes-Pods bereitgestellt werden, ohne Authentifizierung über das Netzwerk zugänglich sind.

Ein Angreifer könnte durch das Einspeisen eines bösartigen Ingress-Objekts, das als AdmissionReview-Anfrage bekannt ist, eine beliebige NGINX-Konfiguration remote injizieren. Dies führt zur Ausführung von Code auf dem Pod des Ingress NGINX Controllers. Die erhöhten Privilegien des Admission Controllers und dessen uneingeschränkte Netzwerkzugänglichkeit schaffen einen kritischen Eskalationspfad, der es einem Angreifer ermöglicht, beliebigen Code auszuführen und auf alle Cluster-Geheimnisse über die Namespaces hinweg zuzugreifen.

In einem experimentellen Angriffsszenario könnte ein Bedrohungsakteur eine schädliche Nutzlast in Form einer gemeinsam genutzten Bibliothek auf den Pod hochladen, indem er die Client-Body-Buffer-Funktion von NGINX nutzt. Anschließend wird eine AdmissionReview-Anfrage an den Admission Controller gesendet, die eine der genannten Konfigurationsdirektive-Injektionen enthält, wodurch die gemeinsam genutzte Bibliothek geladen wird, was effektiv zur Remote-Code-Ausführung führt.

Nach verantwortungsvoller Offenlegung wurden die Schwachstellen in den Ingress NGINX Controller-Versionen 1.12.1, 1.11.5 und 1.10.7 behoben. Nutzern wird empfohlen, so schnell wie möglich auf die neueste Version zu aktualisieren und sicherzustellen, dass der Admission Webhook-Endpunkt nicht extern exponiert wird. Als weitere Maßnahmen wird empfohlen, den Zugriff auf den Admission Controller auf den Kubernetes API-Server zu beschränken und die Admission Controller-Komponente vorübergehend zu deaktivieren, wenn sie nicht benötigt wird.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen