CVE-2025-1974: Kubernetes 인그레스 NGINX 컨트롤러의 인증되지 않은 원격 코드 실행을 초래하는 치명적 취약점 세트

Kubernetes 관리자를 위한 중요한 알림! Ingress NGINX에 영향을 미치는 “IngressNightmare”라는 다섯 가지 중요 취약점(CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098, 및 CVE-2025-1974)이 최근에 패치되었으며, 클러스터에 심각한 위험을 초래할 수 있습니다. Ingress NGINX에 의존하는 Kubernetes 환경의 40% 이상이 영향을 받기 때문에, 시스템과 데이터를 보호하기 위한 신속한 조치가 필수적입니다 RCE 공격에 대한. 가장 심각한 결함은 CVE-2025-1974로, Pod 네트워크에서 인증되지 않은 공격자가 Validating Admission Controller 기능을 통해 구성 주입 취약점을 악용하여 임의 코드 실행에 도달할 수 있습니다.

데이터 침해의 14%가 취약점 악용에서 시작되므로, CVE 악용의 실시간 탐지가 그 어느 때보다 중요합니다. SOC Prime Platform에 등록하여 AI 기반 탐지 엔지니어링, 자동화된 위협 사냥 및 고급 위협 탐지에 대한 완전한 제품군이 뒷받침되는 실시간 CTI 및 큐레이션된 탐지 콘텐츠로 사이버 위협에 대응하세요. CVE 태그를 사용하여 관련 규칙을 찾고, 잠재적인 침입을 탐지하며, 제 시간에 공격을 완화하기 위해 세계 최대의 Detection-as-Code 라이브러리를 탐색해보세요. 아래의 탐지 탐색 버튼을 클릭해보세요.

탐지 탐색

모든 규칙은 여러 SIEM, EDR 및 Data Lake 기술과 호환되며, MITRE ATT&CK 프레임워크에 매핑되어 있어 위협 조사를 효율적으로 수행할 수 있습니다. 또한, 모든 규칙에는 CTI 참조, 공격 타임라인, 감사 구성, 긴급 조치 권장 사항 등이 포함된 상세한 메타데이터가 첨부되어 있습니다. 

CVE-2025-1974 분석

Ingress NGINX Controller의 admission controller 구성 요소에서 최근에 일련의 심각한 취약점이 발견되어, 6,500개 이상의 클러스터가 공격의 위험에 노출될 수 있습니다. Ingress NGINX Controller는 NGINX를 역방향 프록시 및 로드 밸런서로 사용하여 외부 클러스터에서 내부 서비스로 HTTP/HTTPS 경로를 노출합니다. 취약점은 인증 없이 네트워크 접근이 가능한 admission controller에서 발생합니다.​

“IngressNightmare”로 불리는 이러한 보안 문제는 CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 및 CVE-2025-1974를 포함합니다. 주목할 점은, 이러한 결함이 NGINX 및 NGINX Plus의 별도의 구현인 NGINX Ingress Controller에는 영향을 미치지 않는다는 것입니다. 식별된 다섯 가지 취약점 중 가장 심각한 것은 CVE-2025-1974이며, CVSS 점수가 9.8에 도달하여 전체 Kubernetes 클러스터에 영향을 미칠 수 있습니다. 현재 CVE-2025-1974 PoC 익스플로잇 코드는 제공되지 않았지만, 방어자들은 곧 하나가 나오리라 예상하고 있습니다.

CVE-2025-1974 악용은 대상 Pod에 공유 라이브러리를 업로드하기 위해 NGINX 클라이언트 바디 버퍼링을 이용하고, 실행을 트리거하기 위해 ssl_engine load_module 지시어와 함께 AdmissionReview 요청을 보내며, /proc 파일시스템을 통해 실행된 공유 라이브러리를 검색하는 방식으로 이루어집니다. 고유 권한과 열린 네트워크 접근으로 인해, CVE-2025-1974는 공격자에게 임의 코드를 실행하고, 클러스터 전체의 비밀 자료에 접근하며, 시스템 전체에 대한 제어권을 획득할 수 있는 기회를 제공합니다.

감염 흐름은 유해한 구성을 주입하여 민감한 파일을 읽고 임의 코드를 실행하는 것으로, 권한이 있는 서비스 계정을 악용하여 클러스터를 점령할 수 있습니다.

Kubernetes 보안 응답 위원회는 CVE-2025-1974를 제외한 모든 취약점이 구성 처리 개선에 관련되어 있다고 언급했습니다. 그러나 CVE-2025-1974는 다른 IngressNightmare 결함과 결합하여 자격 증명이나 관리자 접근 없이 전체 클러스터를 손상시킬 수 있습니다.

제조업체는 최근 ingress-nginx v1.12.1 및 v1.11.5를 발표하여 IngressNightmare의 다섯 가지 취약점을 모두 해결했습니다. IngressNightmare 악용 시도를 최소화하기 위한 잠재적인 CVE-2025-1974 완화 조치로, 사용자는 즉시 업데이트하고 인증 웹훅에 대한 외부 액세스를 제한해야 합니다. 대비책으로, 방어자들은 Kubernetes API 서버에 대한 admission controller 접근을 제한하거나 필요하지 않은 경우 비활성화하는 것이 좋습니다.

Ingress NGINX Controller 취약점 발견의 증가하는 위험 때문에, 결합시 RCE 및 잠재적인 클러스터 손상을 초래할 수 있는 조직은 관련 공격을 선제적으로 저지할 방법을 모색하고 있습니다. SOC Prime Platform은 집단 사이버 방어를 통해 보안 팀이 중요한 취약점을 이용하거나, 진화하는 위협에 대비하여 시기 적시에 침입을 감지하고 방어할 수 있게 도와줍니다.