WIZ araştırmacıları, Kubernetes için Ingress Nginx denetleyicisini etkileyen birkaç kritik güvenlik açığını ortaya çıkardılar (ingress-nginx) saldırganların kubernetes kümelerini ele geçirmesine izin verebilir.
“Analizimize dayanarak, bulut ortamlarının yaklaşık% 43’ü bu güvenlik açıklarına karşı savunmasızdır, araştırmamız Fortune 500 şirketleri de dahil olmak üzere 6.500’den fazla kümeyi ortaya çıkarır, bu da savunmasız Kubernetes ingress kontrolörlerinin kamuya açık internete kamuya açık bir şekilde ortaya çıkarır – bunları derhal kritik riske sokar” dedi.
“IngressnightMare” güvenlik açıkları
Kubernetes için Ingress Nginx denetleyicisi – F5’in Nginx Ingress Controller ile karıştırılmaması – Kubernetes kümelerinde ağ trafiğini yönetmek için yaygın olarak kullanılan bir açık kaynak denetleyicisidir. Nginx web sunucusunu ters proxy ve yük dengeleyici olarak kullanır.
Ingress, harici olarak iş yükü kapsüllerini (yani bir küme üzerinde çalışan kaplar) ortaya çıkarmak için kullanılan bir Kubernetes özelliğidir. Kubernetes için Ingress NGINX denetleyicisi, dış trafiği Kubernetes kümelerinde çalışan uygulamalara yönlendirmek için giriş nesnelerine dayalı Nginx yapılandırmalarını kullanır.
“Bu Nginx yapılandırma parametrelerinin uygun şekilde kullanılması çok önemlidir, çünkü ingress-nginx Kullanıcıların yanlışlıkla veya kasıtlı olarak Nginx’i yapmaması gereken şeyleri yapmaya kandırmasını engellerken önemli bir esnekliğe izin vermesi gerekiyor, ”diye açıkladı Kubernetes ‘Tabitha Sable.
Ne yazık ki, toplu olarak “IngressnightMare” olarak adlandırılan keşfedilen güvenlik açıkları, kimlik doğrulanmamış saldırganların özel hazırlanmış bir giriş nesnesine hizmet ederek “Nginx’in yanlış davranmasına neden olmasına” izin verebilir.
Güvenlik açıkları:
- CVE-2025-1097-“Auth-TLS-Match-CN” giriş ek açıklaması yoluyla yapılandırma enjeksiyonuna izin verir
- CVE-2025-1098-“Ayna hedefi” ve “Ayna-Host” giriş ek açıklamaları aracılığıyla yapılandırma enjeksiyonuna izin verir
- CVE-2025-24514-“Auth-Url” giriş ek açıklaması yoluyla konfigürasyon enjeksiyonuna izin verir
- CVE-2025-1974- ingress-nginx denetleyici
- CVE-2025-24513-Hedef konteyner içinde dizin geçişine izin verir
“En ciddi [the] Güvenlik Açıkları, CVE-2025-1974, 9.8 CVSS olarak derecelendirilmiş, POD ağındaki herhangi bir şeyin, yapılandırma enjeksiyonu güvenlik açıklarını kullanmasına izin verir. ingress-nginx. Birleştirildiğinde [the configuration injection] Güvenlik Açıkları, CVE-2025-1974, POD ağındaki herhangi bir şeyin, kimlik bilgisi veya idari erişim gerekmeyen Kubernetes kümenizi devralma şansı yüksek olduğu anlamına geliyor ”dedi.
“Birçok yaygın senaryoda, POD ağına bulut VPC’nizdeki tüm iş yükleri veya hatta kurumsal ağınıza bağlı herkes tarafından erişilebilir!”
IngressnightMare Güvenlik Açıkları Kabin Harici ve Dahili Saldırganlar tarafından kullanılabilir (Kaynak: Wiz)
Denetleyiciyi yükseltin veya azaltma dağıtım
Wiz araştırmacıları, güvenlik açıkları ve RCE istismarlarının video gösterisi hakkında teknik ayrıntılar yayınladılar.
İngress-nginx Bakımcılar, kontrolörün v1.12.1 ve v1.11.5’teki güvenlik açıklarını hemen küme yöneticileri tarafından uygulanması gereken güvenlik açıklarını düzelttiler.
“Hemen yükseltemiyorsanız, onaylama giriş denetleyicisi özelliğini kapatarak riskinizi önemli ölçüde azaltabilirsiniz. ingress-nginx”Sable belirtti ve bu adımın sadece geçici olmasını tavsiye etti.
“Doğrulama giriş denetleyicisi özelliğini CVE-2025-1974 için bir azaltma olarak kapatırsanız, yükselttikten sonra tekrar açmayı unutmayın. Bu özellik, kullanıcılarınız için önemli yaşam kalitesi iyileştirmeleri sağlar ve bunları yürürlüğe girmeden önce yanlış giriş konfigürasyonları hakkında uyarır.”
Wiz araştırmacıları ayrıca katı ağ politikalarının uygulanmasının, yalnızca Kubernetes API sunucusunun giriş denetleyicisine erişebilmesi için bir hafifletme görevi görebileceğini belirtti.
AWS, Amazon Elastik Kubernetes Hizmetinin vermediğini veya yüklemediğini belirtti. ingress-nginx denetleyici ve bu sorunlardan etkilenmez, ancak bu denetleyiciyi kümelerine yükleyen müşterilerin en son sürüme güncellenmesi gerekir. Google Cloud, Google Kubernetes motor kullanıcıları için benzer tavsiyeler verdi.