Kubernetes için Ingress-Nginx denetleyicisinde bir dizi güvenlik açığı tespit edilmiştir ve etkilenen versiyonlara güvenen kuruluşlar için bir risk oluşturmuştur. Bu güvenlik açıkları, NGINX denetleyicisi 1.12.1 ve 1.11.5’ten önceki sürümleri etkiler ve yetkisiz uzaktan kod yürütülmesine ve potansiyel tam küme devralmasına izin verebilir.
Konteyner iş yükleri için Kubernetes’ten yararlanan teknik kullanıcılar, bu riskleri azaltmak için sistemlerini hemen en son sürüme yerleştirmelidir.
İngress-nginx denetleyicisi BAckground: Ne oldu?
Avustralya Siber Güvenlik Merkezi, Ingress-Nginx denetleyicisini etkileyen birden fazla güvenlik açıkını detaylandıran bir danışma belgesi yayınladı. Kusurlar, giriş ek açıklamalarının ve saldırgan tarafından sağlanan verilerin uygunsuz ele alınmasından kaynaklanmakta ve keyfi kod uygulamasına ve gizli açıklamalara yol açar.
Aşağıda tanımlanan temel güvenlik açıkları:
1. CVE-2025-1097: Auth-TLS-Match-CN Ingress Ek Açıklama Güvenlik Açığı
NGINX’e yetkisiz yapılandırmalar enjekte etmek için Auth-TLS-Match-CN giriş ek açıklamasının kullanılabileceği bir güvenlik sorunu vardır.
- Darbe: Ingress-Nginx denetleyicisi bağlamında keyfi kod yürütülmesini sağlar.
- Risk: Kümenin güvenliğini tehlikeye atarak ad alanlarındaki tüm sırlara yetkisiz erişim.
2. CVE-2025-1098: Ayna hedefi ve ayna-barınma ek açıklamaları güvenlik açığı
Ayna hedefi ve ayna-konakçı giriş ek açıklamaları, keyfi konfigürasyonlar NGINX’e eklemek için kötüye kullanılabilir.
- Darbe: Ingress-Nginx denetleyicisi içinde kötü amaçlı kodun uzaktan yürütülmesi.
- Risk: Hassas küme çapında sırları ortaya çıkarır ve potansiyel sistem uzlaşmasına yol açar.
3. CVE-2025-1974: POD ağına yetkilendirilmemiş erişim
Belirli koşullar altında, POD ağına erişimi olan kimliği doğrulanmamış bir saldırgan keyfi kod yürütme sağlayabilir.
- Darbe: Meyveden çıkarılmış kontrolör bütünlüğü.
- Risk: Saldırganlar kümeden sırlar çıkarabilir ve potansiyel olarak tam kontrol kazanabilir.
4.
Ingress-Nginx giriş denetleyicisindeki bir güvenlik açığı, saldırgan tarafından sağlanan verilerin dosya adlarına dahil edilmesini sağlar ve bu da kapsayıcının içinde dizin geçişine yol açar.
5. CVE-2025-24514: Auth-Url Ingress ek açıklama istismarı
Auth-Url giriş ek açıklaması, Nginx’e kötü niyetli konfigürasyonlar enjekte etmek için kullanılabilir.
- Darbe: Saldırganların denetleyici içinde uzaktan kodu yürütmesine izin verir.
- Risk: Ad alanlarındaki sırlara yetkisiz erişim sağlar.
Bu neden önemli
Ingress-Nginx denetleyicisi, bir Kubernetes kümesindeki hizmetlere harici trafiği yönlendirmede kritik bir rol oynar. Bu güvenlik açıklarından yararlanmak aşağıdakilere yol açabilir:
- Uzak Kod Yürütme (RCE): Saldırganlar giriş denetleyicisinde keyfi komutlar yürütebilir.
- Küme çapında sırlara maruz kalma: Hassas kimlik bilgileri, API tuşları ve diğer sırlar tehlikeye atılabilir.
- Tam küme devralma: Yetkisiz erişim, Kubernetes altyapısının tamamen uzlaşmasına yol açabilir.
Azaltma: Nasıl Güvenli Kalınır
Bu güvenlik açıklarına karşı korumak için Avustralya sinyalleri Direktörlüğü (ASD) Avustralya Siber Güvenlik Merkezi (ACSC) aşağıdaki önlemleri önermektedir:
- En son sürüme yükseltin
- Bu güvenlik sorunlarını düzeltmek için Ingress-Nginx denetleyicisini hemen 1.12.1 veya 1.11.5 sürümüne güncelleyin.
- Kubernetes Güvenlik Kılavuzunu İnceleyin
- Güvenlik yamaları ve danışmanları hakkında bilgi sahibi olmak için resmi Ingress-Nginx GitHub deposundaki güncellemeleri düzenli olarak izleyin.
- Giriş Webhook uç noktasına harici erişimi devre dışı bırakın
- Giriş WebHook uç noktasının dış saldırganların onu kullanmasını önlemek için kamuya açık olmadığından emin olun.
- CVE-2025-1974’ü adresleme
- Bu güvenlik açığının ciddiyeti nedeniyle, üretilen NGINX konfigürasyonunun validasyonu, giriş kaynak doğrulaması sırasında devre dışı bırakılmıştır.
- Sistem gerçek yüklemeden önce hala kontroller gerçekleştirirken, geçersiz giriş kaynakları NGINX’in yapılandırmasını güncellemesini engelleyebilir.
- Önerilen Eylemler:
- Ek açıklama doğrulamasını etkinleştirin.
- Riskleri en aza indirmek için snippet ek açıklamalarını devre dışı bırakın.
- Ingress-Nginx günlüklerini hatalar için izleyin, özellikle hatadan önce satırlar.
Ingress-Nginx güvenlik açıkları, yetkisiz uzaktan yürütme, kimlik bilgisi sızıntıları ve küme çapında uzlaşma gibi potansiyel sonuçları olan Kubernetes kümeleri için ciddi bir risk oluşturur. Etkilenen sürümleri kullanan kuruluşlar, ortamlarını güvence altına almak için hemen yükseltmelidir.
Bilgilendirilmiş ve en iyi uygulamaları takip ederek, teknik ekipler saldırı yüzeyini en aza indirebilir ve bu kritik kusurların kullanılmasını önleyebilir.