Dalış Kılavuzu:
- Wiz araştırmacıları Pazartesi günü, dört kritik güvenlik açıkının teknik detaylarını açıkladılar-CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 ve CVE-2025-1974-Popüler kontrolöre karşı uzaktan kod yürütmeyi mümkün kılan kubernetler için Ingress Nginx denetleyicisi için.
- Eğer sömürülürse, güvenlik açıkları, bir tehdit oyuncunun kuruluşların Kubernetes ortamları hakkında hassas verilere erişmesine izin verebilir ve bu da potansiyel olarak kümelerin tam olarak ele geçirilmesine yol açabilir.
- Güvenlik açıklarını “IngressnightMare” olarak adlandıran Wiz araştırmacıları, kamu internetine maruz kalan kontrolörlere sahip birçok kuruluşun tehlikede olduğu ve Ingress Nginx denetleyici örneklerini derhal yırtması gerektiği konusunda uyardı.
Dalış içgörü:
“Analizimize dayanarak, bulut ortamlarının yaklaşık% 43’ü bu güvenlik açıklarına karşı savunmasızdır, araştırmamız Fortune 500 şirketleri de dahil olmak üzere 6.500’den fazla kümeyi ortaya çıkarır, bu da savunmasız Kubernetes ingress denetleyicilerinin kamuoyu giriş kontrolörlerini, bunları hemen kritik riske sokar,” diye yazdı araştırmacılar Pazartesi günü bir blog yazısı yazdı.
Ingress Nginx denetleyicisi, bulut ortamlarında kapsayıcı uygulamaları yönetmek için popüler bir platform olan Kubernetes için yaygın olarak kullanılan bir açık kaynak uygulamasıdır. Bir giriş denetleyicisi, kuruluşların Kubernetes iş yüklerine harici erişim sağlayabilmeleri için bu uygulamalara trafiği yönetir. Araştırmacılar, “Ingress-Nginx’i kullanmak, Kubernetes uygulamalarını harici olarak ortaya çıkarmak için en yaygın yöntemlerden biridir” diye yazdı.
Ancak, giriş kontrolörleri Kubernetes ortamları için gözden kaçan bir saldırı yüzeyidir. Varsayılan olarak genellikle ağ üzerinden erişilebilir ve genellikle kimlik doğrulama gereksinimlerinden yoksundurlar.
IngressnightMare güvenlik açıkları
Bu saldırı yüzeyini incelerken, Wiz araştırmacıları Ingress-Nginx giriş denetleyicisinin gelen nesneleri nasıl doğruladığına dair bir sorun keşfetti. Ekip, bir tehdit aktörünün keyfi bir Nginx konfigürasyonu enjekte ederek denetleyiciyi tehlikeye atabileceğini buldu. Saldırganlar oradan, bir kuruluşun ortamındaki tüm Kubernetes kümelerinin kontrolünü üstlenmek için denetleyicinin ayrıcalıklarından ve geniş ağ erişiminden tam olarak yararlanabilir.
Ingress-Nginx’in bakıcıları Pazartesi günü CVES için yamalar yayınladı. Bir güvenlik danışmanında, Kubernetes Güvenlik Müdahale Komitesi Tabitha Sable, kusurların sömürülmesinin kuruluşların kümelerinin “kolay” devralmalarına izin verebileceği ve kullanıcıları derhal harekete geçmeye çağırabileceği konusunda uyardı. Google ve AWS ayrıca IngressnightMare kusurları için güvenlik danışmanları yayınladı.
Wiz, kusurların yamalamanın ötesinde, kuruluşların giriş denetleyicilerine erişimi kısıtlayan ağ politikaları uygulamasını önerdi. Araştırma ekibi, bu denetleyicilerle güvenlik sorunlarının yüzeyini çizmeye başladıkları konusunda uyardı.
Ekip, “İstismar kümenin kontrolünü ele geçirmek için ayrıcalıklarla sonuçlandığı için en az müstehcen tasarımın olmaması nedeniyle şaşırdık.” “Bu araştırma sırasında Ingress Nginx denetleyicisinde başka güvenlik açıkları bulduk ve diğer giriş denetleyicilerinde daha fazlasını bulmayı bekliyoruz.”