Un set di cinque vulnerabilità critiche di sicurezza è stato rivelato nel Ingress NGINX Controller per Kubernetes, che potrebbe portare all’esecuzione di codice remoto non autenticato, mettendo a rischio immediato oltre 6.500 cluster esponendo il componente a Internet pubblico. Le vulnerabilità, identificate come CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974, hanno ricevuto un punteggio CVSS di 9.8 e sono state collettivamente denominate IngressNightmare dalla società di sicurezza cloud Wiz. È importante notare che queste vulnerabilità non impattano il NGINX Ingress Controller, un’altra implementazione del controller di ingresso per NGINX e NGINX Plus.
Secondo un rapporto condiviso con The Hacker News, l’exploitation di queste vulnerabilità consente l’accesso non autorizzato a tutti i segreti memorizzati in tutti i namespace nel cluster Kubernetes, il che può portare a un completo controllo del cluster. IngressNightmare colpisce principalmente il componente admission controller dell’Ingress NGINX Controller per Kubernetes. Circa il 43% degli ambienti cloud è vulnerabile a queste falle.
L’Ingress NGINX Controller utilizza NGINX come proxy inverso e bilanciatore di carico, permettendo di esporre percorsi HTTP e HTTPS dall’esterno di un cluster ai servizi al suo interno. La vulnerabilità sfrutta il fatto che i admission controllers, distribuiti all’interno di un pod Kubernetes, sono accessibili sulla rete senza autenticazione.
In particolare, la vulnerabilità coinvolge l’iniezione remota di una configurazione NGINX arbitraria inviando un oggetto di ingresso dannoso (noto come richieste AdmissionReview) direttamente al admission controller, risultando nell’esecuzione di codice sul pod dell’Ingress NGINX Controller. Wiz ha spiegato che i privilegi elevati del admission controller e la sua accessibilità di rete senza restrizioni creano un percorso di escalation critico. Sfruttando questo difetto, un attaccante può eseguire codice arbitrario e accedere a tutti i segreti del cluster attraverso i namespace, il che potrebbe portare a un completo controllo del cluster.
Le vulnerabilità sono elencate di seguito:
- CVE-2025-24514 – Iniezione di annotazione auth-url
- CVE-2025-1097 – Iniezione di annotazione auth-tls-match-cn
- CVE-2025-1098 – Iniezione UID specchio
- CVE-2025-1974 – Esecuzione di codice di configurazione NGINX
In uno scenario di attacco sperimentale, un attore malevolo potrebbe caricare un payload dannoso sotto forma di libreria condivisa nel pod utilizzando la funzione client-body buffer di NGINX, seguito dall’invio di una richiesta AdmissionReview al admission controller. La richiesta, a sua volta, contiene una delle suddette iniezioni di direttive di configurazione che causa il caricamento della libreria condivisa, portando effettivamente all’esecuzione di codice remoto.
Hillai Ben-Sasson, ricercatore di sicurezza cloud presso Wiz, ha dichiarato a The Hacker News che la catena di attacco coinvolge essenzialmente l’iniezione di configurazioni dannose e il loro utilizzo per leggere file sensibili ed eseguire codice arbitrario. Questo potrebbe successivamente permettere a un attaccante di abusare di un forte Service Account per leggere i segreti di Kubernetes e, in ultima analisi, prendere il controllo del cluster.
Fonte: The Hackers News
