Что такое Nginx?
Ingress
Для описания того, каким образом необходимо обрабатывать клиентский трафик, например запросы веб приложения в браузере, используется сущность Ingress (ингресс). Ingress — это объект Kubernetes, в котором описываются правила маршрутизации клиентского трафика. Как мы с вами знаем, что объекты Kubernetes не работают, если нет соответствующего контроллера. Ingress относится к тому типу объектов, для которых нет встроенных контроллеров. Более того, в рамках кластера Kubernetes может жить несколько ингресс контроллеров...
Критическая уязвимость в Ingress NGINX Controller позволяет выполнять удаленный код без аутентификации Обнаружены пять критических уязвимостей в Ingress NGINX Controller для Kubernetes, позволяющих злоумышленникам выполнять удаленный код (RCE) без аутентификации. Более 6 500 кластеров, доступных из интернета, находятся под угрозой. Ключевые факты - Уязвимости получили CVSS 9.8 и кодовое название IngressNightmare - Не затрагивают NGINX Ingress Controller (другой продукт). - Позволяют получить доступ ко всем секретам Kubernetes и захватить кластер. - Уязвимы 43% облачных сред, использующих этот контроллер. Как работает атака? Ingress NGINX Controller использует NGINX как балансировщик нагрузки, чтобы маршрутизировать HTTP/HTTPS-трафик в сервисы внутри кластера. Уязвимость возникает из-за того, что: 1. Admission Controller (компонент Kubernetes) доступен без аутентификации в сети. 2. Злоумышленник может отправить специально сформированный Ingress-объект (AdmissionReview-запрос), который внедряет произвольную конфигурацию в NGINX. 3. Это приводит к выполнению кода на поде контроллера и доступу ко всем секретам кластера. Эксплуатация в деталях 1. Через client-body buffer в NGINX злоумышленник загружает вредоносную библиотеку. 2. Затем отправляет AdmissionReview-запрос, заставляющий контроллер загрузить эту библиотеку → RCE. 3. Используя привилегии Service Account, атакующий крадет секреты Kubernetes и полностью захватывает кластер. Список уязвимостей CVE-2025-24513 Обход директорий → отказ в обслуживании (DoS) или утечка секретов. CVE-2025-24514 Инъекция конфигурации через auth-url → RCE + утечка секретов. CVE-2025-1097 Инъекция через auth-tls-match-cn → RCE + утечка секретов. CVE-2025-1098 Инъекция через mirror-target`/`mirror-host → RCE + утечка секретов. CVE-2025-1974 Самая опасная RCE без аутентификации при доступе к сети. CVE-2025-1974 можно комбинировать с другими уязвимостями для полного захвата кластера без учетных данных. Как защититься? ✅ Обновить Ingress NGINX Controller до версий: - 1.12.1 - 1.11.5 - 1.10.7 ✅ Ограничить доступ к Admission Controller: - Разрешить подключения только от Kubernetes API Server. - Если компонент не нужен — отключить его. ✅ Проверить экспозицию в интернете: - Убедиться, что вебхук Admission Controller не доступен извне. Вывод Уязвимости IngressNightmare крайне опасны, так как позволяют злоумышленникам полностью контролировать кластер Kubernetes. Компаниям, использующим Ingress NGINX Controller, необходимо срочно принять меры.