CVE-2025-1974 : Ensemble de vulnérabilités critiques dans le contrôleur Ingress NGINX pour Kubernetes menant à une exécution de code à distance non authentifiée
Mise en garde pour les administrateurs Kubernetes ! Un ensemble de cinq vulnérabilités critiques appelées « IngressNightmare » (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 et CVE-2025-1974) affectant Ingress NGINX ont été récemment corrigées, posant un risque sérieux pour les clusters. Avec plus de 40 % des environnements Kubernetes reposant sur Ingress NGINX, une action rapide est cruciale pour protéger vos systèmes et données contre RCE les attaques. La faille la plus sérieuse de la liste est la CVE-2025-1974, permettant à des attaquants non authentifiés sur le réseau du pod d’exploiter des vulnérabilités d’injection de configuration via la fonctionnalité du Validating Admission Controller pour atteindre une exécution de code arbitraire.
Avec 14 % des violations de données commençant par l’exploitation de vulnérabilités, la demande pour une détection proactive de l’exploitation de CVE n’a jamais été aussi critique. Inscrivez-vous à la plateforme SOC Prime pour surpasser les cybermenaces avec du CTI en temps réel et du contenu de détection sur mesure soutenu par une suite complète de produits pour l’ingénierie de détection alimentée par l’IA, la chasse automatisée aux menaces et la détection avancée des menaces. Explorez la plus grande bibliothèque mondiale de détection sous forme de code en utilisant le tag CVE pour trouver des règles pertinentes, détecter les intrusions potentielles et atténuer les attaques à temps. Plongez en cliquant sur le Explore Detections bouton ci-dessous.
Toutes les règles sont compatibles avec de multiples technologies SIEM, EDR et de Data Lake et sont mappées au cadre MITRE ATT&CK pour simplifier l’enquête sur les menaces. De plus, chaque règle est enrichie de métadonnées détaillées, y compris CTI des références, des chronologies d’attaque, des configurations d’audit, des recommandations de triage, et plus encore.
Analyse de CVE-2025-1974
Une série de vulnérabilités critiques ont été récemment divulguées dans le composant admission controller du Ingress NGINX Controller pour Kubernetes, exposant plus de 6,500 clusters aux risques d’attaques en raison d’une exposition à l’internet public. Ingress NGINX Controller, qui utilise NGINX comme proxy inverse et répartiteur de charge, expose des routes HTTP/HTTPS de l’extérieur d’un cluster vers des services internes. La faille provient des admission controllers étant accessibles au réseau sans authentification.
Considérées comme « IngressNightmare », ces problèmes de sécurité incluent CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 et CVE-2025-1974. Notamment, les failles n’affectent pas le NGINX Ingress Controller, une implémentation distincte pour NGINX et NGINX Plus. Parmi les cinq vulnérabilités identifiées, la plus sévère, CVE-2025-1974, avec un score CVSS atteignant 9,8, pourrait conduire à une exécution de code à distance, impactant potentiellement l’intégralité du cluster Kubernetes en raison du rôle élevé du pod du NGINX Ingress Controller. Bien qu’aucun code d’exploitation PoC CVE-2025-1974 ne soit actuellement disponible, les défenseurs s’attendent à ce qu’un exploit émerge bientôt.
L’exploitation de CVE-2025-1974 implique de tirer parti du NGINX Client Body Buffering pour télécharger une bibliothèque partagée sur le pod cible, envoyer une requête AdmissionReview avec la directive ssl_engine load_module pour déclencher l’exécution, et récupérer la bibliothèque partagée exécutée via le système de fichiers /proc. Avec ses privilèges élevés et son accès réseau ouvert, CVE-2025-1974 donne carte blanche aux attaquants pour exécuter du code arbitraire, accéder à des secrets à l’échelle du cluster et potentiellement prendre le contrôle complet du système.
Le flux d’infection implique l’injection d’une configuration malveillante pour lire des fichiers sensibles et exécuter du code arbitraire, conduisant potentiellement à une prise de contrôle du cluster en exploitant un Service Account privilégié.
Le Comité de réponse sécurité Kubernetes a noté que toutes les vulnérabilités sauf CVE-2025-1974 impliquent des améliorations de gestion de configuration. Cependant, CVE-2025-1974 peut être combiné avec les autres failles IngressNightmare pour compromettre l’ensemble du cluster sans identifiants ni accès administrateur.
Le fournisseur a récemment publié ingress-nginx v1.12.1 et v1.11.5, abordant toutes les cinq vulnérabilités IngressNightmare. Comme mesures potentielles de mitigation de CVE-2025-1974 pour minimiser les risques de tentatives d’exploitation IngressNightmare, les utilisateurs doivent mettre à jour immédiatement et restreindre l’accès externe au webhook d’admission. Par précaution, les défenseurs recommandent de restreindre l’accès du contrôleur d’admission au serveur API Kubernetes ou de le désactiver s’il n’est pas nécessaire.
Avec les risques croissants de découverte des vulnérabilités du Ingress NGINX Controller qui, lorsqu’elles sont combinées, pourraient permettre une exécution de code à distance et une compromission potentielle du cluster, les organisations recherchent des moyens de contrecarrer de manière proactive les attaques connexes. La plateforme SOC Prime pour la défense cyber collective aide les équipes de sécurité à repérer en temps opportun les intrusions qui s’appuient sur des vulnérabilités critiques et à se défendre de manière proactive contre les menaces en évolution, quelle que soit leur sophistication.
