Olarak bilinen bir dizi güvenlik açığı IngressnightMare (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974) ingress-nginxyaygın olarak kullanılan bir Kubernetes giriş denetleyicisi. Birlikte kullanıldığında, bu güvenlik açıkları doğrulama giriş denetleyicisi aracılığıyla yapılandırma enjeksiyonuna izin verir. POD ağındaki yetkilendirilmemiş uzak saldırganlar, Kubernetes sırları da dahil olmak üzere hassas verilere yetkisiz erişim elde etmek ve hatta kümenin tam bir devralmayı gerçekleştirmek için bu güvenlik açığından yararlanabilir.
Etkilenen ürünler
Kubernetes Ingress Nginx denetleyicisi, harici trafiği küme hizmetlerine yönlendiren yaygın olarak kullanılan bir bileşendir. Konfigürasyonları inceleyerek ve onaydan önce doğru olmalarını sağlayarak gelen giriş nesnelerini doğrulayan bir giriş denetleyicisi içerir. Bu denetleyici, küme genelindeki kaynaklara erişim gerektirdiğinden önemli ayrıcalıklarla çalışır.
Ingress-Nginx’in tüm sürümleri potansiyel olarak savunmasızdır. Sorun 1.12.1 ve 1.11.5 sürümlerinde sabitlenmiştir.
Güvenlik Açığı Detayları
CVE-2025-1974, Ingress-Nginx’in onaylama giriş denetleyicisindeki konfigürasyon enjeksiyon güvenlik açıklarından kaynaklanır. Diğer güvenlik açıkları (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098) ile birleştiğinde, POD ağındaki saldırganlar Kubernetes Secrets’e yetkisiz erişim sağlayabilir ve potansiyel olarak tüm küme üzerinden geçebilir.
Tespit
Yüzey İzleme Müşterileri, istismar zincirini mümkün kılan Nginx girişini maruz bırakıp açmadıklarını test edebilirler.
Detective tarafından yayınlanan güvenlik açığı değerlendirmesi, TLS sertifikalarını analiz ederek açıkta kalan giriş Nginx giriş denetleyicilerini tanımlar.
Azaltma
- Ingress-Nginx sürümlerine yükseltin 1.12.1 veya 1.11.5.
- Anında yama uygulanamazsa, onaylama giriş denetleyicisini devre dışı bırakın:
- Helm kurulumları için: Controller.admissionwebhooks.enabled = false.
- Manuel kurulumlar için: ingress-nginx-kabul adlı validatingwebhookconfiguration’ı silin ve ingress-nginx-controller dağıtımından veya DaemonSet argümanlarından validating-webhook’u kaldırın.
- Yükselttikten sonra doğrulama giriş denetleyicisini yeniden etkinleştirmeyi unutmayın.
Yama müsaitliği
Güvenlik açığı, 1.12.1 ve 1.11.5 ingress-nginx sürümlerinde sabitlenir. Kullanıcılara bu sürümleri güncellemeleri veya sağlanan hafifletmeyi uygulamaları şiddetle tavsiye edilir.
Müşteriler her zaman güncellemeleri bulabilir. “Tespit Etmede Yenilikler” ürün günlüğü. Herhangi bir soru müşteri başarı temsilcilerine veya desteğe yönlendirilebilir. Zaten müşteri değilseniz, tıklayın Burada Bir demo veya ücretsiz deneme için kaydolmak ve hemen taramaya başlamak için. Git kendini hack!
Referanslar:
Orijinal Araştırma: Uzak Kod Yürütme Güvenlikleri Ingress Nginx | Wiz Blog
Kubernetes’de giriş kontrolü