Kubernetes için Ingress Nginx denetleyicisinde, kimlik doğrulanmamış uzaktan kod yürütülmesine neden olabilecek ve bileşeni kamu internetine maruz bırakarak anında risk altına girebilecek beş kritik güvenlik eksikliği kümesi açıklanmıştır.
9.8 CVSS skoru atanan güvenlik açıkları (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1097, CVE-2025-1098 ve CVE-2025-1974) atandı. Nginx ve Nginx Plus için başka bir giriş denetleyicisi uygulaması olan eksikliklerin Nginx ingress denetleyicisini etkilemediğini belirtmek gerekir.
Hacker News ile paylaşılan bir raporda, “Bu güvenlik açıklarının kullanılması, Kubernetes kümesindeki tüm ad alanlarda saklanan tüm sırlara saldırganlar tarafından saklanan tüm sırlara yetkisiz erişime yol açıyor.
IngressnightMare, özünde, Kubernetes için Ingress Nginx denetleyicisinin giriş denetleyicisi bileşenini etkiler. Bulut ortamlarının yaklaşık% 43’ü bu güvenlik açıklarına karşı savunmasızdır.
Ingress Nginx denetleyicisi, Nginx’i ters proxy ve yük dengeleyici olarak kullanır, bu da HTTP ve HTTPS rotalarını bir kümeden içindeki hizmetlere kadar açığa çıkarmayı mümkün kılar.
Güvenlik açığı, bir Kubernetes bölmesinde konuşlandırılan giriş denetleyicilerinin kimlik doğrulama yapmadan ağ üzerinden erişilebilmesinden yararlanır.
Özellikle, doğrudan giriş denetleyicisine kötü niyetli bir giriş nesnesi (diğer adıyla kabul edilen bir nesne) göndererek keyfi bir NGINX yapılandırmasının uzaktan enjekte edilmesini içerir ve bu da Ingress Nginx denetleyicisinin kapsülünde kod yürütmeye neden olur.
Wiz, “Kabul denetleyicisinin yükseltilmiş ayrıcalıkları ve sınırsız ağ erişilebilirliği kritik bir artış yolu yaratıyor.” Diyerek şöyle devam etti: “Bu kusurdan yararlanmak, bir saldırganın keyfi kod yürütmesine ve tüm küme sırlarına ad alanlarında erişmesine izin verir, bu da tam küme devralmasına yol açabilir.”
Eksiklikler aşağıda listelenmiştir –
- CVE-2025-24514 -Auth-url ek açıklama enjeksiyonu
- CVE-2025-1097 -Auth-TLS-Match-CN ek açıklama enjeksiyonu
- CVE-2025-1098 – ayna uid enjeksiyonu
- CVE-2025-1974 – Nginx Yapılandırma Kodu Yürütme
Deneysel bir saldırı senaryosunda, bir tehdit oyuncusu Nginx’in istemci gövdesi arabellek özelliğini kullanarak paylaşılan bir kütüphane şeklinde kötü amaçlı bir yük yükü yükleyebilir ve ardından giriş denetleyicisine bir giriş isteği gönderebilir.
Talep, sırayla, paylaşılan kütüphanenin yüklenmesine neden olan ve etkili bir şekilde uzaktan kod yürütülmesine yol açan yukarıda belirtilen yapılandırma yönergesi enjeksiyonlarından birini içerir.
Wiz bulut güvenlik araştırmacısı Hillai Ben-Sasson, Hacker News’e saldırı zincirinin esasen kötü niyetli yapılandırma enjekte etmeyi ve hassas dosyaları okumak ve keyfi kod çalıştırmak için kullanmayı içerdiğini söyledi. Bu, daha sonra bir saldırganın Kubernetes sırlarını okumak ve sonuçta küme devralmayı kolaylaştırmak için güçlü bir hizmet hesabını kötüye kullanmasına izin verebilir.
Sorumlu açıklamanın ardından, Güvenlik Açıkları Ingress Nginx Denetleyici Sürümleri 1.12.1, 1.11.5 ve 1.10.7’de ele alınmıştır.
Kullanıcılara en kısa sürede en son sürüme güncelleme yapmaları ve giriş WebHook uç noktasının harici olarak maruz kalmamasını sağlamak önerilir.
Etkileme olarak, giriş denetleyicisine erişmek ve gerekmiyorsa giriş denetleyicisini geçici olarak devre dışı bırakması için yalnızca Kubernetes API sunucusunu sınırlandırmanız önerilir.