Ingress Nginx denetleyicisinde bulunan ve kümeleri kime doğrulanmamış uzaktan kod yürütmeye (RCE) maruz bırakan “IngressnightMare” olarak adlandırılan yakın zamanda keşfedilen bir dizi güvenlik açıklaması. Kubernetes konteyner düzenlemesine hakimdir, ancak önemi onu sömürü için bir hedef haline getirmiştir.
Kubernetes’te Ingress, dahili hizmetlere harici erişim sağlayan sofistike bir trafik yönetim sistemi olarak hizmet vermektedir. İki temel bileşen içerir:
- Giriş Kaynakları: Bunlar, genellikle YAML yapılandırma dosyalarında belirtilen ana bilgisayar adlarına, yollara veya diğer kriterlere dayalı yönlendirme kurallarını tanımlar.
- Giriş Denetleyicileri: Bunlar genellikle ters proxy veya yük dengeleyici kullanarak yönlendirme kurallarını uygular.
Popüler Nginx web sunucusu üzerine inşa edilen Ingress Nginx denetleyicisi, GitHub’da 18.000’den fazla yıldızla övünen en yaygın dağıtılan seçeneklerden biridir.
Bu kusurlar, saldırganların tüm Kubernetes ortamlarından ödün vermesine izin verebilir. Kubernetes’teki Ingress, Ingress Resources aracılığıyla iç hizmetlere harici trafiği yönetir YAML dosyaları, ana bilgisayar adı veya yol ile yönlendirme kurallarını tanımlayan ve bu kuralları ters proxy aracılığıyla uygulayan Nginx varyantı gibi bir giriş denetleyicisi.
Örneğin, bir Yaml örnek.com/ bir ön uç hizmetine ve örnek.com/api’yi bir arka uç hizmetine yönlendirebilir. Çok yönlü olsa da, bu sistem sömürüldüğünde savunmasızdır.
IngressnightMare: Dört kritik güvenlik açığı
IngressnightMare, Ingress Nginx denetleyicisinin giriş nesnelerini doğrulayan WebHook’taki dört güvenlik açığını kapsar. Bu kusurlar v1.11.0, v1.11.0 – v1.11.4 ve v1.12.0 öncesi sürümleri, yamalar v1.11.5 ve v1.12.1’de mevcuttur. Bunlar:
- CVE-2025-1097 (Auth-TLS-Match-CN ek açıklama enjeksiyonu): Bu güvenlik açığı, saldırganların kimlik doğrulama kontrollerini atlayarak Auth-TLS-Match-CN ek açıklaması yoluyla kötü amaçlı yapılandırmalar enjekte etmelerini sağlar. TLS doğrulamasını manipüle edebilir, potansiyel olarak hassas verileri ortaya çıkarabilir veya daha fazla sömürü sağlayabilir (CVSS 8.8).
- CVE-2025-1098 (Ayna UID enjeksiyonu): Saldırganlar, aynayla ilgili ek açıklamalardan (ayna hedefi veya ayna-konak) veya UID manipülasyonundan yararlanarak keyfi konfigürasyonlar enjekte edebilirler. Bu, küme bütünlüğünü tehlikeye atarak trafiği yönlendirebilir veya yetkisiz eylemler yürütebilir (CVSS 8.8).
- CVE-2025-24514 (Auth-Url ek açıklama enjeksiyonu): Bu kusur, saldırganların denetleyicinin işlediği kötü amaçlı URL’ler enjekte etmesine izin veren Auth-Url ek açıklamasını hedefler. Yetkisiz erişime yol açabilir veya daha geniş saldırılar için bir giriş noktası olarak hizmet edebilir (CVSS 8.8).
- CVE-2025-1974 (NGINX Yapılandırma Kodu Yürütme): En şiddetli olan bu güvenlik açığı, NGINX yapılandırma doğrulamasını kullanarak kimlik doğrulanmamış RCE’yi sağlar. Saldırganlar, Nginx -T testi sırasında yürütülen kodu enjekte ederek, küme sırlarına ve tam kontrole erişim sağlar (CVSS 9.8).
Başarılı sömürü tüm sırları açığa çıkarabilir, yanal harekete izin verebilir veya küme devralmasına neden olabilir.
Saldırı nasıl çalışır?
IngressnightMare saldırısı bu zayıflıkları çok aşamalı bir süreçte kullanıyor. Saldırganların Shodan gibi araçları kullanarak maruz kalan denetleyiciler için taradığı Discovery ile başlar.
Daha sonra, zararlı Nginx direktiflerini Auth-Url veya Auth-TLS-Match-CN gibi ek açıklamalara yerleştirerek kötü niyetli bir giriş nesnesi oluştururlar.
Bu nesne, kimlik doğrulama eksikliğinden yararlanarak WebHook’a kimlik doğrulanmamış bir giriş isteği olarak gönderilir.
Rapora göre, denetleyici enjekte edilen kodu içeren bir NGINX yapılandırması oluşturur ve Nginx -t ile doğrulama sırasında, Rogue kütüphanesi yürütme, RCE’ye ulaşma gibi kötü amaçlı direktifler. Denetleyicinin ayrıcalıkları ile saldırganlar sırlara erişir, yanal olarak hareket eder ve potansiyel olarak kümeye hakim olur.
Azaltma stratejileri
Savunmasız kapsülleri kontrol edin:
bash
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxKubectl aracılığıyla sürümleri doğrulayın Pod’u açıklayın. Risk altındaysa, aşağıdakileri kullanarak v1.11.5 veya v1.12.1’e yükseltin.
bash
helm upgrade ingress-nginx ingress-nginx/ingress-nginx --version Yama hemen değilse, WebHook’u ağ politikalarıyla sınırlayın veya denetleyici olarak ayarlayarak devre dışı bırakın.Amissionwebhooks.enabled = false (dümen) veya validatingwebhookconfiguration’ı kaldırın.
Ingress ayrıca operasyonel sorunlar da ortaya koymaktadır: SSL hataları gizli ve DNS doğrulamasına ihtiyaç duyar; Yönlendirme problemleri günlük ve uç nokta kontrolleri gerektirir; ve performans darboğazları, replikleri ölçeklendirme ve proxy-bu-buffer boyutu gibi proxy ayarlarını ayarlamaktan yararlanır: “8k”.
IngressnightMare, Kubernetes’in sofistike saldırılara maruz kalmasını açıklıyor. Yamalar ve hafifletme adımları mevcutken, kuruluşlar kümelerini güvence altına almaya öncelik vermelidir. Operasyonel titizlik esneklik sağlar. Şimdi bu kritik tehdide karşı koymak için harekete geçin.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin