CVE-2025-1974: Conjunto Crítico de Vulnerabilidades en el Controlador NGINX Ingress para Kubernetes que Conduce a RCE No Autenticado
¡Atención para los administradores de Kubernetes! Un grupo de cinco vulnerabilidades críticas llamado “IngressNightmare” (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974) que afecta a Ingress NGINX ha sido recientemente parcheado, representando un riesgo serio para los clusters. Con más del 40% de los entornos de Kubernetes dependiendo de Ingress NGINX, tomar medidas rápidas es crucial para proteger sus sistemas y datos contra RCE ataques. La falla más seria en la lista es CVE-2025-1974 que permite a atacantes no autenticados en la red del pod explotar vulnerabilidades de inyección de configuración a través de la función de Validating Admission Controller para lograr la ejecución de código arbitrario.
Con el 14% de las brechas de datos comenzando por la explotación de vulnerabilidades, la demanda de detección proactiva de la explotación de CVE nunca ha sido más crítica. Regístrese en la Plataforma SOC Prime para superar las amenazas cibernéticas con CTI en tiempo real y contenido de detección curado respaldado por una suite completa de productos para ingeniería de detección impulsada por IA, caza automatizada de amenazas y detección avanzada de amenazas. Explore la biblioteca más grande del mundo de Detection-as-Code usando la etiqueta CVE para encontrar reglas relevantes, detectar intrusiones potenciales y mitigar ataques a tiempo. Sumérjase haciendo clic en el Explorar Detecciones botón de abajo.
Todas las reglas son compatibles con múltiples tecnologías SIEM, EDR y Data Lake y mapeadas al marco MITRE ATT&CK para agilizar la investigación de amenazas. Además, cada regla está enriquecida con metadatos detallados, incluyendo CTI referencias, cronogramas de ataques, configuraciones de auditoría, recomendaciones de triaje y más.
Análisis de CVE-2025-1974
Una serie de vulnerabilidades críticas fueron recientemente divulgadas en el componente de controlador de admisión del Ingress NGINX Controller para Kubernetes, exponiendo a más de 6,500 clusters a riesgos de ataques debido a la exposición a internet público. Ingress NGINX Controller, que utiliza NGINX como proxy inverso y balanceador de carga, expone rutas HTTP/HTTPS desde fuera de un cluster a servicios internos. La falla se origina porque los controladores de admisión son accesibles a la red sin autenticación.
Considerados como «IngressNightmare», estos problemas de seguridad incluyen CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974. Notablemente, las fallas no afectan al NGINX Ingress Controller, una implementación separada para NGINX y NGINX Plus. Entre las cinco vulnerabilidades identificadas, la más severa, CVE-2025-1974, con una puntuación CVSS alcanzando 9.8, podría llevar a RCE, potencialmente afectando a todo el cluster de Kubernetes debido al rol elevado del pod NGINX Ingress Controller. Aunque actualmente no está disponible ningún código de explotación CVE-2025-1974PoC, los defensores esperan que es probable que uno aparezca pronto.
La explotación de CVE-2025-1974 involucra el uso de NGINX Client Body Buffering para cargar una biblioteca compartida al pod objetivo, enviando una solicitud de AdmissionReview con la directiva ssl_engine load_module para desencadenar la ejecución, y recuperando la biblioteca compartida ejecutada a través del sistema de archivos /proc. Con sus privilegios elevados y acceso a red abierto, CVE-2025-1974 da a los atacantes luz verde para ejecutar código arbitrario, acceder a secretos de cluster en general y potencialmente tomar control total del sistema.
El flujo de infección involucra inyectar una configuración maliciosa para leer archivos sensibles y ejecutar código arbitrario, potencialmente llevando a la toma del cluster explotando una Cuenta de Servicio privilegiada.
El Comité de Respuesta de Seguridad de Kubernetes señaló que todas las vulnerabilidades excepto CVE-2025-1974 involucran mejoras en el manejo de configuración. Sin embargo, CVE-2025-1974 se puede combinar con las otras fallas de IngressNightmare para comprometer todo el cluster sin credenciales o acceso de administrador.
El proveedor ha lanzado recientemente ingress-nginx v1.12.1 y v1.11.5, abordando todas las cinco vulnerabilidades de IngressNightmare. Como medidas potenciales de mitigación de CVE-2025-1974 para minimizar los riesgos de intentos de explotación de IngressNightmare, los usuarios deben actualizar inmediatamente y restringir el acceso externo al webhook de admisión. Como precaución, los defensores recomiendan restringir el acceso del controlador de admisión al Servidor API de Kubernetes o desactivarlo si no es necesario.
Con los crecientes riesgos del descubrimiento de vulnerabilidades del Ingress NGINX Controller que, cuando se combinan, podrían habilitar RCE y posible compromiso del cluster, las organizaciones están buscando formas de prevenir proactivamente ataques relacionados. La Plataforma SOC Prime para la defensa cibernética colectiva ayuda a los equipos de seguridad a detectar oportunamente intrusiones que dependen de vulnerabilidades críticas y a defenderse proactivamente contra amenazas en evolución sin importar su sofisticación.
