Satu set dari lima kekurangan keamanan kritis telah diungkapkan dalam pengontrol masuk Nginx untuk Kubernetes yang dapat mengakibatkan eksekusi kode jarak jauh yang tidak diautentikasi, menempatkan lebih dari 6.500 cluster pada risiko langsung dengan mengekspos komponen ke internet publik.
Kerentanan (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098, dan CVE-2025-1974), ditugaskan skor CVSS 9,8, telah secara kolektif menjadi coden naming ingrressnight oleh perusahaan Cloud Security. Perlu dicatat bahwa kekurangan tidak berdampak pada Nginx Ingress Controller, yang merupakan implementasi pengontrol Ingress lain untuk Nginx dan Nginx Plus.
“Eksploitasi kerentanan ini mengarah pada akses tidak sah ke semua rahasia yang disimpan di semua ruang nama di kluster Kubernetes oleh penyerang, yang dapat mengakibatkan pengambilalihan cluster,” kata perusahaan itu dalam sebuah laporan yang dibagikan kepada Hacker News.
IngressnightMare, pada intinya, mempengaruhi komponen pengontrol penerimaan dari pengontrol Nginx Ingress untuk Kubernetes. Sekitar 43% lingkungan cloud rentan terhadap kerentanan ini.
Ingress Nginx Controller menggunakan Nginx sebagai proxy terbalik dan penyeimbang beban, sehingga memungkinkan untuk mengekspos rute HTTP dan HTTPS dari luar kluster ke layanan di dalamnya.
Kerentanan mengambil keuntungan dari fakta bahwa pengontrol penerimaan, yang digunakan dalam pod Kubernetes, dapat diakses melalui jaringan tanpa otentikasi.
Secara khusus, ini melibatkan menyuntikkan konfigurasi Nginx yang sewenang -wenang dari jarak jauh dengan mengirim objek masuk berbahaya (alias permintaan admissionreview) langsung ke pengontrol penerimaan, menghasilkan eksekusi kode pada pod pengontrol Nginx masuk.
“Hak istimewa yang ditinggikan pengontrol penerimaan dan aksesibilitas jaringan yang tidak dibatasi menciptakan jalur eskalasi yang kritis,” Wiz menjelaskan. “Mengeksploitasi cacat ini memungkinkan penyerang untuk menjalankan kode sewenang -wenang dan mengakses semua rahasia cluster di seluruh ruang nama, yang dapat menyebabkan pengambilalihan kluster lengkap.”
Kekurangan tercantum di bawah ini –
- CVE-2025-24514 -Injeksi anotasi auth-url
- CVE-2025-1097 -Injeksi anotasi auth-tls-match-cn
- CVE-2025-1098 – Suntikan cermin uid
- CVE-2025-1974 – Eksekusi kode konfigurasi nginx
Dalam skenario serangan eksperimental, aktor ancaman dapat mengunggah muatan jahat dalam bentuk perpustakaan bersama ke pod dengan menggunakan fitur buffer-tubuh klien Nginx, diikuti dengan mengirim permintaan penilaian admissionReview ke pengontrol penerimaan.
Permintaan, pada gilirannya, berisi salah satu suntikan arahan konfigurasi yang disebutkan di atas yang menyebabkan perpustakaan bersama dimuat, secara efektif mengarah pada eksekusi kode jarak jauh.
Hillai Ben-Sasson, peneliti keamanan cloud di Wiz, mengatakan kepada Hacker News bahwa rantai serangan pada dasarnya melibatkan menyuntikkan konfigurasi berbahaya, dan menggunakannya untuk membaca file sensitif dan menjalankan kode sewenang-wenang. Ini selanjutnya dapat mengizinkan penyerang untuk menyalahgunakan akun layanan yang kuat untuk membaca rahasia Kubernetes dan pada akhirnya memfasilitasi pengambilalihan cluster.
Mengikuti pengungkapan yang bertanggung jawab, kerentanan telah dibahas dalam versi pengontrol Nginx Ingress 1.12.1, 1.11.5, dan 1.10.7.
Pengguna disarankan untuk memperbarui ke versi terbaru sesegera mungkin dan memastikan bahwa titik akhir webhook penerimaan tidak diekspos secara eksternal.
Sebagai mitigasi, disarankan untuk hanya membatasi server API Kubernetes untuk mengakses pengontrol penerimaan dan untuk sementara menonaktifkan komponen pengontrol penerimaan jika tidak diperlukan.
