CVE-2025-1974 olarak izlenen Ingress-Nginx’te yakın zamanda açıklanan bir güvenlik açığı, Kubernetes ortamlarının güvenliği konusunda endişeleri artırmıştır.
Bu güvenlik açığı, Ingress-Nginx’e entegre olan Webhook sunucusunun doğrulanması yoluyla uzaktan kod yürütülmesine (RCE) izin verir. Saldırganların bu kusurdan nasıl yararlanabileceğini gösteren bir konsept (POC) istismarının kanıtı yayınlandı.
CVE-2025-1974, WebHook’un onaylanması olan Ingress-Nginx’in sürümlerini etkiler. Webhook, 8443 bağlantı noktasını dinler ve yapılandırmaları Nginx örneklerine uygulamadan önce doğrulamak için tasarlanmıştır.
Bununla birlikte, bir güvenlik gözetimi nedeniyle, bir saldırgan RCE’ye yol açan NGINX konfigürasyonları içeren kötü niyetli girişler oluşturabilir.
POC istismarı
POC istismarı yerel bir Minikube ortamında test edilmiştir. İşte nasıl çalıştığına dair adım adım bir kılavuz:
- Savunmasız bir bölme oluşturun:
Kullanıcılar, Kubernetes kullanarak ilgili Nginx Ingress Denetleyici yapılandırmasını uygulayarak başlar:
kubectl apply -f nginx-ingress-controller.yaml- Webhook sunucusunu tanımlayın:
POD’u açıklamak Webhook sunucusu hakkında detaylar, dinleme bağlantı noktası dahil:
kubectl describe -n Bu, onaylamanın WebHook’un 8443 numaralı bağlantı noktasını dinlediğini gösterir.
- Yerel makineye doğru bağlantı noktası:
Webhook ile etkileşim kurmak için kullanıcılar yerel makinelerine taşıyan:
kubectl port-forward -n ingress-nginx 8443:1337 - Kötü niyetli giriş gönder:
Kötü niyetli bir giriş, güvenlik açığından yararlanan bir NGINX yapılandırması içeren bir JSON yükü (POC.JSON) ile üretilir. Bu, iletilen Webhook bağlantı noktasına gönderilir:
curl --insecure -v -H "Content-Type: application/json" --data poc.json https://localhost:1337/fake/path- Başarılı yürütmeyi doğrulayın:
Pod’un kütükleri şu şekilde kontrol edilir:
kubectl logs -n ingress-nginx İstismarın başarılı bir şekilde yürütülmesi belirli günlük mesajları ile gösterilir.
Etki ve Öneriler
Bu güvenlik açığı, Webhook’un onaylanması ile Ingress-Nginx’e dayanan herhangi bir ortam için önemli bir risk oluşturmaktadır.
RCE potansiyeli, saldırganların Kubernetes kümesi içinde keyfi kod yürütmesine izin vererek güvenlik ve bütünlüğü tehlikeye atar.
Bu güvenlik açığını azaltmak için kullanıcılara Ingress-Nginx kurulumlarını sorunun düzeltildiği sürümlere güncellemeleri tavsiye edilir.
Ek olarak, uygun ağ segmentasyonunun ve erişim kontrollerinin yapılmasını sağlamak, yamalar uygulanana kadar potansiyel hasarı sınırlayabilir.
CVE-2025-1974 için bir POC istismarının piyasaya sürülmesi, Ingress-Nginx gibi kritik altyapı bileşenlerindeki güvenlik açıklarını ele almanın aciliyetini vurgulamaktadır.
Kubernetes ortamlarının sürekli izlenmesi ve bakımı, bu tür istismarların vahşi doğada başarılı bir şekilde yürütülmesini önlemek için esastır.
Kubernetes ekosistemi gelişmeye devam ettikçe, her bir bileşeni ortaya çıkan tehditlere karşı korumak, operatörler ve geliştiriciler için en büyük öncelik olmaya devam etmektedir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.