ISGroup Cybersicherheitsberatung

CVE-2025-1974: Ingress-Nginx Controller – Remote Code Execution (RCE)

Ingress-Nginx ist ein weit verbreiteter Ingress-Controller für Kubernetes, der zur Verwaltung des externen Zugriffs auf Dienste innerhalb eines Clusters verwendet wird. In einigen Versionen von Ingress-Nginx wurde eine kritische Sicherheitslücke identifiziert, die eine Remote Code Execution (RCE) durch bösartige Annotationen ermöglicht. Diese Schwachstelle wird aktiv ausgenutzt und stellt ein erhebliches Risiko für Kubernetes-Umgebungen dar.

Datum27.03.2025 14:22:23
Informationen
  • Trending
  • Fix verfügbar

Technische Zusammenfassung

Die Schwachstelle ist mit der Ingress-Annotation auth-tls-match-cn verbunden, die es einem Angreifer ermöglicht, beliebige Nginx-Konfigurationsdirektiven einzuschleusen. Diese Fehlkonfiguration kann ausgenutzt werden, um bösartige Module zu laden oder beliebige Befehle im Kontext des Ingress-Nginx-Controllers auszuführen.

Durch das Senden einer speziell präparierten Anfrage kann ein Angreifer die Nginx-Konfiguration unter Verwendung einer Annotation wie der folgenden manipulieren:

nginx.ingress.kubernetes.io/auth-url: "http://example.com#;load_module test;\n"

Dieser Exploit ermöglicht die unbefugte Ausführung von Code, was zur vollständigen Kompromittierung des Ingress-Nginx-Controllers führt. Darüber hinaus können Angreifer potenziell auf alle im Cluster vorhandenen Kubernetes-Secrets zugreifen, was eine Privilegieneskalation und die vollständige Übernahme des Clusters ermöglicht.

Empfehlungen

Um diese Schwachstelle zu entschärfen, sollten Administratoren umgehend handeln:

  1. Ingress-Nginx aktualisieren: Führen Sie ein Upgrade auf eine der folgenden korrigierten Versionen durch:

    • Version 1.12.1 oder höher
    • Version 1.11.5 oder höher

  2. Annotationen einschränken: Implementieren Sie Richtlinien, um das Anwenden nicht autorisierter Annotationen auf Ingress-Ressourcen zu verhindern.

  3. Controller-Berechtigungen einschränken: Stellen Sie sicher, dass der Ingress-Nginx-Controller keinen unnötigen Zugriff auf sensible Kubernetes-Ressourcen hat.

  4. Exploit-Versuche überwachen: Analysieren Sie die Protokolle auf verdächtige Änderungen an Ingress-Ressourcen oder nicht autorisierte Anpassungen der Nginx-Konfiguration.

  5. Netzwerksicherheitsmaßnahmen anwenden: Begrenzen Sie den externen Zugriff auf den Ingress-Controller und wenden Sie strenge Firewall-Regeln an.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *