CVE-2025-1974: Critical Set of Vulnerabilities in Ingress NGINX Controller for Kubernetes Leading to Unauthenticated RCE

Kubernetes管理者の皆様への注意喚起！Ingress NGINXに影響を与える5つの重大な脆弱性「IngressNightmare」（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098、およびCVE-2025-1974）が最近修正され、クラスターに深刻なリスクをもたらしています。Kubernetes環境の40%以上がIngress NGINXに依存しているため、システムとデータの安全を守るための迅速な対応が必要です。 RCE 攻撃。リストの中で最も深刻な欠陥はCVE-2025-1974で、未認証の攻撃者がポッドネットワーク上で検証Admission Controller機能を介した設定注入の脆弱性を悪用し、任意のコード実行に至る可能性があります。

データ侵害の 14%が 脆弱性の悪用から始まるため、CVEの悪用に対する積極的な検出の重要性はかつてないほど高まっています。SOC Prime Platformに登録して、AI対応の検出エンジニアリング、自動化された脅威ハンティング、高度な脅威検出のための完全な製品スイートをバックにしたリアルタイムCTIと厳選された検出コンテンツでサイバー脅威に対抗しましょう。世界最大のDetection-as-CodeライブラリをCVEタグを使用して探索し、関連するルールを見つけ、潜在的な侵入を検出し、攻撃をタイムリーに軽減しましょう。以下の Explore Detections ボタンをクリックして開始してください。

Explore Detections

すべてのルールは複数のSIEM、EDR、データレイク技術と互換性があり、 MITRE ATT&CK フレームワークにマッピングされて、脅威の調査を効率化しています。さらに、各ルールには詳細なメタデータが付随しており、 CTI 参照、攻撃のタイムライン、監査設定、トリアージ推奨事項などが含まれています。

CVE-2025-1974の分析

Ingress NGINX Controllerのアドミッションコントローラコンポーネントで最近一連の重大な脆弱性が開示され、6,500を超えるクラスターが公衆インターネットへの露出により、攻撃のリスクにさらされています。NGINXをリバースプロキシおよびロードバランサとして使用するIngress NGINX Controllerは、クラスターの外部から内部サービスへのHTTP/HTTPSルートを公開します。この欠陥は、認証なしでネットワークアクセス可能なアドミッションコントローラから生じています。

「IngressNightmare」とされるこれらのセキュリティ問題にはCVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098、およびCVE-2025-1974が含まれています。特に、これらの欠陥はNGINXおよびNGINX Plusのための別の実装であるNGINX Ingress Controllerには影響しません。特定された5つの脆弱性の中で最も深刻なものは、 CVE-2025-1974で、そのCVSSスコアが9.8に達し、RCEに至る可能性があり、NGINX Ingress Controllerポッドの権限が高まるため、Kubernetesクラスター全体に影響を及ぼす可能性があります。現在、CVE-2025-1974PoCの悪用コードは利用可能ではありませんが、防御側はすぐにそれが登場する可能性があると予想しています。

CVE-2025-1974の悪用には、NGINXクライアントボディバッファリングを活用してターゲットポッドに共有ライブラリをアップロードし、ssl_engine load_module指令を含むAdmissionReviewリクエストを送信して実行をトリガし、/procファイルシステムを介して実行された共有ライブラリを取得することが含まれています。その高い特権とオープンなネットワークアクセスにより、CVE-2025-1974は攻撃者に任意のコードを実行し、クラスター全体の秘密情報にアクセスし、システムを完全に制御する可能性を与えます。

感染の流れは、悪意のある設定を注入して機密ファイルを読み込み、任意のコードを実行することを含み、優先されたサービスアカウントを悪用することにより、クラスターの乗っ取りに至る可能性があります。

Kubernetes Security Response Committeeは、CVE-2025-1974を除く全ての脆弱性が設定管理の改善を含むと指摘しています。しかし、CVE-2025-1974は他のIngressNightmareの欠陥と組み合わせることで、クレデンシャルや管理者アクセスなしでクラスター全体を侵害する可能性があります。

ベンダーは最近、ingress-nginx v1.12.1およびv1.11.5をリリースし、 5つのIngressNightmareの脆弱性すべてを修正しました。CVE-2025-1974の悪用の試みに対する潜在的な緩和策として、ユーザーはすぐに更新し、アドミッションウェブフックへの外部アクセスを制限する必要があります。予防策として、防御側はKubernetes APIサーバーへのアドミッションコントローラアクセスを制限するか、不要な場合は無効化することを推奨しています。

Ingress NGINX Controllerの脆弱性が発見され、その組み合わせによりRCEやクラスターの危機が生じるリスクが高まる中、組織は関連する攻撃を事前に阻止する方法を模索しています。 SOC Prime Platform による集団的なサイバー防御は、セキュリティチームが重要な脆弱性に頼る侵入をタイムリーに見つけ出し、高度な脅威に対しても積極的に防御するのに役立ちます。