CVE-2025-1974: Conjunto Crítico de Vulnerabilidades no Ingress NGINX Controller para Kubernetes que Leva a RCE Não Autenticada
Atenção, administradores do Kubernetes! Um lote de cinco vulnerabilidades críticas chamado “IngressNightmare” (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974) que afetam o Ingress NGINX foi recentemente corrigido, representando um risco sério para os clusters. Com mais de 40% dos ambientes Kubernetes dependendo do Ingress NGINX, ação rápida é crucial para proteger seus sistemas e dados contra RCE ataques. A falha mais séria da lista é a CVE-2025-1974, que permite a atacantes não autenticados na rede do pod explorar vulnerabilidades de injeção de configuração via o recurso Validating Admission Controller para alcançar execução de código arbitrário.
Com 14% das violações de dados começando a partir da exploração de vulnerabilidades, a demanda por detecção proativa da exploração de CVEs nunca foi tão crítica. Registre-se na Plataforma SOC Prime para superar ameaças cibernéticas com CTI em tempo real e conteúdo de detecção curado, apoiado por um conjunto completo de produtos para engenharia de detecção com inteligência artificial, caça automatizada de ameaças e detecção avançada de ameaças. Explore a maior biblioteca de Detecção-como-Código do mundo usando a tag CVE para encontrar regras relevantes, detectar intrusões potenciais e mitigar ataques a tempo. Mergulhe clicando no Explorar Detecções botão abaixo.
Todas as regras são compatíveis com múltiplas tecnologias de SIEM, EDR e Data Lake e estão mapeadas para o MITRE ATT&CK framework para facilitar a investigação de ameaças. Além disso, cada regra é enriquecida com metadados detalhados, incluindo CTI referências, cronogramas de ataque, configurações de auditoria, recomendações de triagem e mais.
Análise CVE-2025-1974
Uma série de vulnerabilidades críticas foi recentemente divulgada no componente controlador de admissão do Ingress NGINX Controller para Kubernetes, expondo mais de 6.500 clusters aos riscos de ataques devido à exposição ao público na internet. O Ingress NGINX Controller, que usa NGINX como proxy reverso e balanceador de carga, expõe rotas HTTP/HTTPS de fora de um cluster para serviços internos. A falha decorre de controladores de admissão serem acessíveis pela rede sem autenticação.
Consideradas como “IngressNightmare”, essas questões de segurança incluem o CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098, e CVE-2025-1974. Notavelmente, as falhas não afetam o NGINX Ingress Controller, uma implementação separada para NGINX e NGINX Plus. Entre as cinco vulnerabilidades identificadas, a mais grave, CVE-2025-1974, com a pontuação CVSS alcançando 9.8, poderia levar a RCE, impactando potencialmente o cluster Kubernetes inteiro devido ao papel elevado do pod NGINX Ingress Controller. Embora nenhum código de exploit PoC CVE-2025-1974 esteja atualmente disponível, defensores esperam que um surja em breve.
A exploração da CVE-2025-1974 envolve aproveitar o NGINX Client Body Buffering para carregar uma biblioteca compartilhada no pod alvo, enviar uma solicitação AdmissionReview com a diretiva ssl_engine load_module para acionar a execução e recuperar a biblioteca compartilhada executada através do sistema de arquivos /proc. Com seus privilégios elevados e acesso à rede aberta, a CVE-2025-1974 dá aos atacantes sinal verde para executar código arbitrário, acessar segredos em todo o cluster e potencialmente assumir o controle total do sistema.
O fluxo de infecção envolve injetar uma configuração maliciosa para ler arquivos sensíveis e executar código arbitrário, potencialmente levando à tomada do cluster ao explorar uma Conta de Serviço privilegiada.
O Comitê de Resposta de Segurança do Kubernetes observou que todas as vulnerabilidades, exceto a CVE-2025-1974, envolvem melhorias no manuseio de configuração. No entanto, a CVE-2025-1974 pode ser combinada com as outras falhas do IngressNightmare para comprometer o cluster inteiro sem credenciais ou acesso de administrador.
O fornecedor lançou recentemente ingress-nginx v1.12.1 e v1.11.5, abordando todas as cinco vulnerabilidades do IngressNightmare. Como medidas potenciais de mitigação da CVE-2025-1974 para minimizar os riscos de tentativas de exploração do IngressNightmare, os usuários devem atualizar imediatamente e restringir o acesso externo ao webhook de admissão. Como precaução, defensores recomendam restringir o acesso do controlador de admissão ao Servidor API do Kubernetes ou desativá-lo se não for necessário.
Com o aumento dos riscos da descoberta de vulnerabilidades do Ingress NGINX Controller que, quando combinadas, poderiam possibilitar RCE e potencial comprometimento do cluster, as organizações estão buscando maneiras de impedir proativamente ataques relacionados. Plataforma SOC Prime para defesa cibernética coletiva ajuda as equipes de segurança a identificar intrusões que dependem de vulnerabilidades críticas e a se defender proativamente contra ameaças em evolução, não importa sua sofisticação.
