CVE-2025-1974: Conjunto Crítico de Vulnerabilidades no Ingress NGINX Controller para Kubernetes que Leva a RCE Não Autenticada

[post-views]
Março 26, 2025 · 4 min de leitura
CVE-2025-1974: Conjunto Crítico de Vulnerabilidades no Ingress NGINX Controller para Kubernetes que Leva a RCE Não Autenticada

Atenção, administradores do Kubernetes! Um lote de cinco vulnerabilidades críticas chamado “IngressNightmare” (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974) que afetam o Ingress NGINX foi recentemente corrigido, representando um risco sério para os clusters. Com mais de 40% dos ambientes Kubernetes dependendo do Ingress NGINX, ação rápida é crucial para proteger seus sistemas e dados contra RCE ataques. A falha mais séria da lista é a CVE-2025-1974, que permite a atacantes não autenticados na rede do pod explorar vulnerabilidades de injeção de configuração via o recurso Validating Admission Controller para alcançar execução de código arbitrário.

Com 14% das violações de dados começando a partir da exploração de vulnerabilidades, a demanda por detecção proativa da exploração de CVEs nunca foi tão crítica. Registre-se na Plataforma SOC Prime para superar ameaças cibernéticas com CTI em tempo real e conteúdo de detecção curado, apoiado por um conjunto completo de produtos para engenharia de detecção com inteligência artificial, caça automatizada de ameaças e detecção avançada de ameaças. Explore a maior biblioteca de Detecção-como-Código do mundo usando a tag CVE para encontrar regras relevantes, detectar intrusões potenciais e mitigar ataques a tempo. Mergulhe clicando no Explorar Detecções botão abaixo.

Explorar Detecções

Todas as regras são compatíveis com múltiplas tecnologias de SIEM, EDR e Data Lake e estão mapeadas para o MITRE ATT&CK framework para facilitar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados detalhados, incluindo CTI referências, cronogramas de ataque, configurações de auditoria, recomendações de triagem e mais. 

Análise CVE-2025-1974

Uma série de vulnerabilidades críticas foi recentemente divulgada no componente controlador de admissão do Ingress NGINX Controller para Kubernetes, expondo mais de 6.500 clusters aos riscos de ataques devido à exposição ao público na internet. O Ingress NGINX Controller, que usa NGINX como proxy reverso e balanceador de carga, expõe rotas HTTP/HTTPS de fora de um cluster para serviços internos. A falha decorre de controladores de admissão serem acessíveis pela rede sem autenticação.​

Consideradas como “IngressNightmare”, essas questões de segurança incluem o CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098, e CVE-2025-1974. Notavelmente, as falhas não afetam o NGINX Ingress Controller, uma implementação separada para NGINX e NGINX Plus. Entre as cinco vulnerabilidades identificadas, a mais grave, CVE-2025-1974, com a pontuação CVSS alcançando 9.8, poderia levar a RCE, impactando potencialmente o cluster Kubernetes inteiro devido ao papel elevado do pod NGINX Ingress Controller. Embora nenhum código de exploit PoC CVE-2025-1974 esteja atualmente disponível, defensores esperam que um surja em breve.

A exploração da CVE-2025-1974 envolve aproveitar o NGINX Client Body Buffering para carregar uma biblioteca compartilhada no pod alvo, enviar uma solicitação AdmissionReview com a diretiva ssl_engine load_module para acionar a execução e recuperar a biblioteca compartilhada executada através do sistema de arquivos /proc. Com seus privilégios elevados e acesso à rede aberta, a CVE-2025-1974 dá aos atacantes sinal verde para executar código arbitrário, acessar segredos em todo o cluster e potencialmente assumir o controle total do sistema.

O fluxo de infecção envolve injetar uma configuração maliciosa para ler arquivos sensíveis e executar código arbitrário, potencialmente levando à tomada do cluster ao explorar uma Conta de Serviço privilegiada.

O Comitê de Resposta de Segurança do Kubernetes observou que todas as vulnerabilidades, exceto a CVE-2025-1974, envolvem melhorias no manuseio de configuração. No entanto, a CVE-2025-1974 pode ser combinada com as outras falhas do IngressNightmare para comprometer o cluster inteiro sem credenciais ou acesso de administrador.

O fornecedor lançou recentemente ingress-nginx v1.12.1 e v1.11.5, abordando todas as cinco vulnerabilidades do IngressNightmare. Como medidas potenciais de mitigação da CVE-2025-1974 para minimizar os riscos de tentativas de exploração do IngressNightmare, os usuários devem atualizar imediatamente e restringir o acesso externo ao webhook de admissão. Como precaução, defensores recomendam restringir o acesso do controlador de admissão ao Servidor API do Kubernetes ou desativá-lo se não for necessário.

Com o aumento dos riscos da descoberta de vulnerabilidades do Ingress NGINX Controller que, quando combinadas, poderiam possibilitar RCE e potencial comprometimento do cluster, as organizações estão buscando maneiras de impedir proativamente ataques relacionados. Plataforma SOC Prime para defesa cibernética coletiva ajuda as equipes de segurança a identificar intrusões que dependem de vulnerabilidades críticas e a se defender proativamente contra ameaças em evolução, não importa sua sofisticação.

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Publicações Relacionadas