CVE-2025-1974: Set di Vulnerabilità Critiche nel Controller Ingress NGINX per Kubernetes che Conducono a RCE Non Autenticato
Avviso per gli amministratori di Kubernetes! Un insieme di cinque vulnerabilità critiche denominate “IngressNightmare” (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974) che colpiscono Ingress NGINX sono state recentemente corrette, ponendo un serio rischio per i cluster. Con oltre il 40% degli ambienti Kubernetes che fa affidamento su Ingress NGINX, è cruciale agire rapidamente per proteggere i vostri sistemi e dati da RCE attacchi. Il difetto più serio nella lista è CVE-2025-1974 che consente agli attaccanti non autenticati sulla rete del pod di sfruttare vulnerabilità di configurazione dell’iniezione tramite la funzione Validating Admission Controller per raggiungere l’esecuzione arbitraria di codice.
Con il 14% delle violazioni dei dati che iniziano dallo sfruttamento delle vulnerabilità, la domanda di rilevamento proattivo dello sfruttamento delle CVE non è mai stata più critica. Registrati alla piattaforma SOC Prime per superare le minacce informatiche con CTI in tempo reale e contenuti di rilevazione curati supportati da una suite completa di prodotti per l’ingegneria delle rilevazioni basata sull’AI, la caccia alle minacce automatizzata e il rilevamento avanzato delle minacce. Esplora la più grande libreria mondiale di Detection-as-Code utilizzando il tag CVE per trovare le regole rilevanti, rilevare potenziali intrusioni e mitigare gli attacchi in tempo. Immergiti cliccando il bottone Esplora Rilevazioni qui sotto.
Tutte le regole sono compatibili con più tecnologie SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK per semplificare le indagini sulle minacce. Inoltre, ogni regola è arricchita con metadati dettagliati, tra cui CTI riferimenti, cronologie degli attacchi, configurazioni di audit, raccomandazioni di triage e altro.
Analisi di CVE-2025-1974
Una serie di vulnerabilità critiche sono state recentemente divulgate nel componente admission controller del Ingress NGINX Controller per Kubernetes, esponendo oltre 6.500 cluster ai rischi di attacchi a causa dell’esposizione a Internet pubblico. Ingress NGINX Controller, che utilizza NGINX come reverse proxy e bilanciatore di carico, espone le rotte HTTP/HTTPS dall’esterno di un cluster ai servizi interni. Il difetto deriva dal fatto che i controller di ammissione sono accessibili alla rete senza autenticazione.
Considerati come “IngressNightmare”, questi problemi di sicurezza includono CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974. In particolare, i difetti non colpiscono il NGINX Ingress Controller, un’implementazione separata per NGINX e NGINX Plus. Tra le cinque vulnerabilità identificate, la più grave, CVE-2025-1974, con un punteggio CVSS di 9.8, potrebbe portare a RCE, potenzialmente influenzando l’intero cluster Kubernetes a causa del ruolo elevato del pod NGINX Ingress Controller. Sebbene attualmente non sia disponibile alcun codice exploit PoC per CVE-2025-1974, i difensori prevedono che uno possa apparire presto.
L’esploit di CVE-2025-1974 coinvolge l’uso dell’NGINX Client Body Buffering per caricare una libreria condivisa nel pod target, invio di una richiesta AdmissionReview con la direttiva ssl_engine load_module per attivare l’esecuzione, e recupero della libreria condivisa eseguita tramite il filesystem /proc. Con i suoi privilegi elevati e accesso aperto alla rete, CVE-2025-1974 dà agli attaccanti il via libera per eseguire codice arbitrario, accedere a segreti su scala cluster e potenzialmente prendere il pieno controllo del sistema.
Il flusso di infezione implica l’iniezione di una configurazione dannosa per leggere file sensibili ed eseguire codice arbitrario, potenzialmente portando al controllo del cluster sfruttando un Service Account privilegiato.
Il Comitato di Risposta alla Sicurezza di Kubernetes ha notato che tutte le vulnerabilità tranne CVE-2025-1974 riguardano miglioramenti nella gestione della configurazione. Tuttavia, CVE-2025-1974 può essere combinata con gli altri difetti IngressNightmare per compromettere l’intero cluster senza credenziali o accesso di amministrazione.
Il vendor ha recentemente rilasciato ingress-nginx v1.12.1 e v1.11.5, affrontando tutte e cinque le vulnerabilità IngressNightmare. Come misure di mitigazione potenziali di CVE-2025-1974 per minimizzare i rischi di tentativi di sfruttamento di IngressNightmare, gli utenti dovrebbero aggiornare immediatamente e limitare l’accesso esterno al webhook di ammissione. Come precauzione, i difensori raccomandano di limitare l’accesso ai controller di ammissione al Kubernetes API Server o di disabilitarli se non necessari.
Con i crescenti rischi della scoperta delle vulnerabilità del Ingress NGINX Controller che, se combinate, potrebbero consentire RCE e potenziale compromissione del cluster, le organizzazioni stanno cercando modi per contrastare proattivamente gli attacchi correlati. La piattaforma SOC Prime per la difesa informatica collettiva aiuta i team di sicurezza a individuare tempestivamente intrusioni che si basano su vulnerabilità critiche e a difendersi proattivamente contro minacce in evoluzione a prescindere dalla loro sofisticatezza.
