‘IngressNightmare’ coloca em risco ambientes Kubernetes

‘IngressNightmare’ coloca em risco ambientes Kubernetes. Vulnerabilidades críticas ‘IngressNightmare’ colocam em risco ambientes Kubernetes.

Mais de 40% de todos os clusters de orquestração de contêineres voltados para a Internet estão em risco.

Os mantenedores do Kubernetes lançaram patches para quatro vulnerabilidades críticas no Ingress NGINX Controller, afetando 6.500, ou 41%, de todos os clusters de orquestração de contêineres voltados para a Internet, incluindo aqueles usados ​​por diversas empresas da Fortune 500.

As vulnerabilidades permitem que um invasor remoto e não autenticado execute comandos arbitrários em ambientes afetados e assuma completamente o controle dos clusters do Kubernetes, de acordo com pesquisadores da Wiz que descobriram as falhas.

Um pacote de quatro vulnerabilidades

Três das vulnerabilidades — CVE-2025-24514, CVE-2025-1097 e CVE-2025-1098 — permitem que invasores injetem diretivas de configuração NGINX arbitrárias, incluindo regras de roteamento personalizadas e configurações de segurança, em sistemas afetados. No entanto, para obter execução remota de código, um invasor precisaria encadear qualquer uma dessas três vulnerabilidades com uma quarta falha, CVE-2025-1974. Esse vetor de ataque combinado — que a Wiz apelidou de ” IngressNightmare ” — carrega uma pontuação de gravidade CVSS de 9,8, o que significa que é um risco crítico e de alta prioridade para as organizações afetadas.

O Ingress-NGINX é um controlador Ingress do Kubernetes que utiliza o NGINX como um proxy reverso e balanceador de carga . Sua função é gerenciar e rotear o tráfego de uma fonte externa para vários serviços dentro de um cluster do Kubernetes. As quatro vulnerabilidades afetam especificamente o componente do controlador de admissão do NGINX Controller para Kubernetes, que é responsável por validar e/ou modificar objetos Ingress de entrada e outros recursos antes que eles sejam processados ​​pelo servidor de API.

Relacionado: Nova estrutura de teste ajuda a avaliar sandboxes

O Wiz identificou uma vulnerabilidade no tratamento de objetos de entrada pelo controlador de admissão, especificamente na tradução desses objetos em diretivas de configuração do NGINX. Devido à validação de campo inadequada, o Wiz descobriu que invasores poderiam explorar essa vulnerabilidade para ignorar a autenticação da API do Kubernetes e executar diretivas não autorizadas do NGINX diretamente nos controladores de admissão expostos.

“Durante a fase de validação da configuração, a configuração NGINX injetada faz com que o validador NGINX execute código, permitindo a execução remota de código (RCE) no pod do Ingress NGINX Controller”, disse Wiz. “Os privilégios elevados do controlador de admissão e a acessibilidade irrestrita à rede criam um caminho de escalonamento crítico. Explorar essa falha permite que um invasor execute código arbitrário e acesse todos os segredos do cluster em namespaces, o que pode levar à tomada de controle completa do cluster”, alertou o fornecedor de segurança.

Os mantenedores do Kubernetes identificaram   o CVE-2025-1974 (pontuação CVSS: 9,8) como a mais séria das quatro vulnerabilidades que o Wiz descobriu. A falha “permite que qualquer coisa na rede Pod explore vulnerabilidades de injeção de configuração por meio do recurso Validating Admission Controller do ingress-nginx”, disse Tabitha Sable, membro da equipe de resposta de segurança do Kubernetes,  em um blog.

Relacionado: Infecções de spyware ‘Paragon’ do Estado-nação têm como alvo a sociedade civil

Sable caracterizou a vulnerabilidade como especialmente perigosa porque permite que um invasor tome ações normalmente disponíveis apenas para um usuário privilegiado. “Quando combinado com outras vulnerabilidades de hoje, CVE-2025-1974 significa que qualquer coisa na rede Pod tem uma boa chance de assumir o controle do seu cluster Kubernetes, sem credenciais ou acesso administrativo necessários”, escreveu Sable. “Em muitos cenários comuns, a rede Pod é acessível a todas as cargas de trabalho em sua VPC na nuvem, ou mesmo a qualquer pessoa conectada à sua rede corporativa! Esta é uma situação muito séria.”

Organizações em risco

Qualquer organização com controladores de admissão expostos publicamente e vulneráveis ​​está em risco e precisa atualizar imediatamente para a versão corrigida do NGINX Controller 1.12.1, 1.11.5 e v1.10.7, recomendou a Wiz. Aqueles que não puderem aplicar o patch o mais rápido possível devem aplicar políticas para garantir que apenas o servidor da API do Kubernetes possa acessar o controlador de admissão. Como os controladores de admissão por padrão geralmente são acessíveis pela rede sem autenticação, as organizações também devem considerar desabilitar o componente se ele não for necessário, disseram os pesquisadores. 

Relacionado: Competição universitária foca na solução de desafios de IA generativa

Sable repetiu esse conselho no blog do Kubernetes, mas lembrou às organizações que desabilitam o controlador de admissão como medida de mitigação que devem reativá-lo quando atualizarem para a versão recém-corrigida do NGINX Controller.

“Após trabalhar em estreita colaboração com os mantenedores do Kubernetes por meses — durante os quais encontramos várias vulnerabilidades e ignoramos repetidamente seus patches propostos — chegamos a uma correção que fecha completamente a superfície de ataque que descobrimos”, diz Nir Ohfeld, chefe de pesquisa da Wiz. “No entanto, ainda recomendamos que as organizações evitem expor seus controladores de admissão à Internet.”

Normalmente, não há razão válida para qualquer organização expor controladores de admissão na Internet. Mas esses sistemas são frequentemente deixados em risco na Internet pública devido à falta de conscientização , configurações incorretas e erros — especialmente em ambientes multicluster e híbridos grandes e complexos.

Mas os invasores podem explorar as vulnerabilidades em qualquer situação em que possam obter acesso ao controlador de admissão, Ohfeld adverte. “Mesmo em cenários em que [os controladores de admissão] não são expostos à Internet, há vários caminhos de ataque que um invasor pode aproveitar”, ele diz. “Por exemplo, um invasor com uma vulnerabilidade SSRF simples em qualquer software em execução no cluster pode explorá-la para acessar o controlador de admissão e acionar a vulnerabilidade.”

Ohfeld avalia que as vulnerabilidades não são especialmente difíceis de explorar para um invasor relativamente habilidoso.

Vulnerabilidades em ambientes Kubernetes podem ser um grande problema para organizações que usam a tecnologia de orquestração de contêineres. Uma pesquisa de 2024 da Portworx e da Dimensional Research mostrou que, nos 10 anos em que o Kubernetes existe, ele evoluiu de uma tecnologia em evolução para um padrão de fato para orquestração de contêineres. A pesquisa descobriu que muitas organizações estão usando o Kubernetes para criar aplicativos essenciais para os negócios. Setenta e dois por cento executam bancos de dados essenciais para os negócios em ambientes Kubernetes, 67% executam aplicativos analíticos e 54% dos 527 entrevistados tinham cargas de trabalho de IA/ML no Kubernetes. Quase dois terços (65%) planejavam migrar seus ambientes de máquina virtual para o Kubernetes nos próximos dois anos.

Fonte: DarkReading 

Veja também:

• Ferramentas de IA influenciadas espalham desinformação
• Qual o custo da violação de dados?
• Plataformas legítimas disseminam malware
• BADBOX 2.0 Botnet Infecta 1 Milhão de Dispositivos Android
• Check Point descobre ataque de phishing através do Firebase 
• Pentesters: A IA está vindo para fazer o seu papel?
• Justa causa por envio de dados sigilosos para e-mail pessoal
• Apple corrige WebKit de dia zero explorado em ataques ‘extremamente sofisticados’
• Falhas de segurança do cliente Zoom podem levar a violações de dados
• A pessoa que está olhando na Meeting é um deepfake de IA
• iOS 18.3.2 corrige vulnerabilidade do WebKit explorada ativamente
• O dia depois do ataque hacker: saiba o que priorizar na empresa