CVE-2025-1974: Kritische Schwachstellen im Ingress NGINX Controller für Kubernetes führen zu unauthentifizierter RCE
Achtung für Kubernetes-Administratoren! Eine Reihe von fünf kritischen Schwachstellen namens „IngressNightmare“ (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 und CVE-2025-1974), die Ingress NGINX betreffen, wurden kürzlich gepatcht und stellen ein ernstes Risiko für die Cluster dar. Mit über 40 % der Kubernetes-Umgebungen, die auf Ingress NGINX angewiesen sind, ist schnelles Handeln entscheidend, um Ihre Systeme und Daten zu schützen RCE vor Angriffen. Der schwerwiegendste Fehler in der Liste ist CVE-2025-1974, der es nicht authentifizierten Angreifern im Pod-Netzwerk ermöglicht, Konfigurationsinjektionsschwachstellen über die Validating Admission Controller-Funktion auszunutzen, um eine willkürliche Codeausführung zu erreichen.
Mit 14 % der Datenverletzungen die durch die Ausnutzung von Schwachstellen beginnen, war die Nachfrage nach proaktiver Erkennung der Ausnutzung von CVEs noch nie so kritisch wie jetzt. Registrieren Sie sich auf der SOC Prime Platform, um Cyber-Bedrohungen mit Echtzeit-CTI und kuratierten Erkennungsinhalten zu übersteigen, die durch ein vollständiges Produktsortiment für KI-gestützte Erkennungsentwicklung, automatisierte Bedrohungsjagd und fortschrittliche Bedrohungserkennung unterstützt werden. Erkunden Sie die weltweit größte Detection-as-Code-Bibliothek, indem Sie das CVE-Tag verwenden, um relevante Regeln zu finden, potenzielle Eindringlinge zu erkennen und Angriffe rechtzeitig zu mildern. Tauchen Sie ein, indem Sie auf den Erkennungen erkunden Button unten klicken.
Alle Regeln sind mit mehreren SIEM-, EDR- und Data-Lake-Technologien kompatibel und nach dem MITRE ATT&CK Framework abgebildet, um die Bedrohungsuntersuchung zu vereinfachen. Außerdem wird jede Regel mit detaillierten Metadaten angereichert, einschließlich CTI Referenzen, Angriffschronologien, Audit-Konfigurationen, Dringlichkeitsempfehlungen und mehr.
CVE-2025-1974 Analyse
Eine Reihe von kritischen Schwachstellen wurde kürzlich in der Admission Controller-Komponente des Ingress NGINX Controllers für Kubernetes bekannt gegeben und setzt mehr als 6.500 Cluster den Risiken von Angriffen durch die öffentliche Internet-Exponierung aus. Der Ingress NGINX Controller, der NGINX als Reverse Proxy und Load Balancer verwendet, gibt HTTP/HTTPS-Routen von außerhalb eines Clusters zu internen Diensten frei. Der Fehler stammt von Admission Controllern, die ohne Authentifizierung über das Netzwerk zugänglich sind.
Als „IngressNightmare“ bezeichnet, umfassen diese Sicherheitsprobleme CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 und CVE-2025-1974. Besonders bemerkenswert ist, dass die Fehler den NGINX Ingress Controller nicht betreffen, eine separate Implementierung für NGINX und NGINX Plus. Unter den fünf identifizierten Schwachstellen ist die schwerwiegendste, CVE-2025-1974, mit dem CVSS-Score von 9.8, könnte zu einer Remote Code Execution führen, die das gesamte Kubernetes-Cluster aufgrund der erhöhten Rolle des NGINX Ingress Controller Pods beeinträchtigen könnte. Obwohl derzeit kein CVE-2025-1974PoC-Exploitcode verfügbar ist, erwarten Verteidiger, dass bald einer auftauchen wird.
Die Ausnutzung von CVE-2025-1974 beinhaltet die Nutzung von NGINX Client Body Buffering, um eine gemeinsam genutzte Bibliothek in das Ziel-Pod hochzuladen, das Senden einer AdmissionReview-Anfrage mit der ssl_engine load_module-Direktive, um die Ausführung zu triggern, und das Abrufen der ausgeführten gemeinsam genutzten Bibliothek über das /proc-Dateisystem. Mit seinen erhöhten Privilegien und offenem Netzwerkzugang gibt CVE-2025-1974 Angreifern grünes Licht für die Ausführung von beliebigem Code, den Zugriff auf Cluster-weit geheime Daten und möglicherweise die vollständige Kontrolle über das System.
Der Infektionsfluss umfasst das Injizieren einer bösartigen Konfiguration, um sensible Dateien zu lesen und beliebigen Code auszuführen, was möglicherweise zur Übernahme eines Clusters führt, indem ein privilegiertes Servicekonto ausgenutzt wird.
Das Kubernetes Security Response Committee stellte fest, dass alle Schwachstellen außer CVE-2025-1974 Verbesserungen im Konfigurationshandling beinhalten. CVE-2025-1974 kann jedoch mit den anderen IngressNightmare-Schwachstellen kombiniert werden, um das gesamte Cluster ohne Anmeldeinformationen oder Administratorzugriff zu kompromittieren.
Der Anbieter hat kürzlich ingress-nginx v1.12.1 und v1.11.5 veröffentlicht, die alle fünf IngressNightmare-Schwachstellen beheben. Als potenzielle Minderungsmaßnahmen für CVE-2025-1974, um die Risiken von IngressNightmare-Ausnutzungsversuchen zu minimieren, sollten Benutzer sofort aktualisieren und den externen Zugriff auf das Admission Webhook einschränken. Zur Vorsicht empfehlen Verteidiger, den Zugriff des Admission Controllers auf den Kubernetes API Server einzuschränken oder ihn zu deaktivieren, wenn er nicht benötigt wird.
Mit den zunehmenden Risiken der Entdeckung von Ingress NGINX Controller-Schwachstellen, die in Kombination RCE und potenzielle Cluster-Kompromittierung ermöglichen könnten, suchen Organisationen nach Möglichkeiten, verwandte Angriffe proaktiv zu vereiteln. SOC Prime Plattform für kollektive Cyberabwehr hilft Sicherheitsteams dabei, rechtzeitig Einbrüche zu erkennen, die sich auf kritische Schwachstellen stützen, und sich proaktiv gegen sich entwickelnde Bedrohungen zu verteidigen, unabhängig von ihrer Komplexität.
