Bulut güvenliği, güvenlik işlemleri
Yama aciliyeti, CVE-2025-1974 Güvenlik Açığı Yayınlanacak Kod Olarak Artar.
Mathew J. Schwartz (Euroinfosec) •
28 Mart 2025
Binlerce Kubernetes kümesi, Pazartesi günü saldırganların bulut tabanlı uygulamaların kontrolünü ele geçirmesine izin verebilecek beş kritik güvenlik açıkının bir kombinasyonuna karşı yamalı değil.
Ayrıca bakınız: AI güdümlü teknolojilerle bulut güvenliğini geliştirin
Kubernetes proje ekibi, Ingress Nginx denetleyicisi için bu güvenlik açıklarının beşi için düzeltmeleri olan “Ingress-Nginx v1.12.1 ve v1.11.5 şeklinde yamalar yayınladı (bkz: bkz: bkz:: bkz:: Kubernetes Yaması: Kümelerin% 43’ü uzaktan devralma riskiyle karşı karşıya).
Kubernetes, kapsayıcı iş yüklerini ve hizmetlerini yönetmek için popüler bir açık kaynak platformudur. Sistem, yazılım dağıtımından ölçeklendirme ve yönetime kadar her şeyi otomatikleştirir.
Güvenlik açıkları, Core Kubernetes ekibi tarafından korunan ve popüler Nginx – HTTP web sunucusu, ters proxy ve yük dengeleme yazılımına dayanan Ingress Nginx denetleyicisinin giriş denetleyicisi bileşeninde bulunur.
Birçok Kubernetes projesi denetleyiciye güveniyor. Kubernetes Güvenlik Müdahale Komitesi’nin bir parçası olan Tabitha Sable, “Çok yönlülüğü ve kullanım kolaylığı nedeniyle, Ingress-Nginx oldukça popülerdir: Kubernetes kümelerinin% 40’ından fazlasında konuşlandırılıyor.” Dedi.
Güvenlik açıkları, CVE-2025-24513, CVE-2025-24514, CVE-2025-1098 ve CVE-2025-1098 ve ayrıca “kritik” CVSS’nin 9.8’lik şiddetli artış gösterdiği herhangi bir şey olan CVE-2025-1098 ve CVE-2025-1098 ve CVE-2025-1098 olarak izlenir. – “Kimlik bilgisi veya idari erişim gerekmeden Kubernetes kümenizi devralma şansı yüksektir” ve depolanan tüm sırlara erişim elde etmek.
“Birçok yaygın senaryoda, POD ağına bulut VPC’nizdeki tüm iş yükleri için erişilebilir” – sanal özel bulut – “veya hatta kurumsal ağınıza bağlı herkes bile.” Dedi. “Bu çok ciddi bir durum.”
Araştırmacılar, vahşi doğada bu tür saldırıların hiçbir belirtisi görmediklerini bildirmesine rağmen, kusurlar ve uzaktan kod yürütme için vahşi saldırılarla nasıl kullanılabilecekleri hakkında daha fazla ayrıntı ortaya çıkmaya devam ediyor.
“Açıklanan beş güvenlik açıkından herhangi biri, enjeksiyon güvenlik açıklarından herhangi biri”-CVE-2025-24514, CVE-2025-1097 veya CVE-2025-1098-“CVE-2025-1974-” CVE-2025-1974-CVE-2025-1974 ile zincirlenebilir. Rapid7’de Başlıca Güvenlik Araştırmacısı, bir blog gönderisinde. “RCE’ye ulaşmak bir saldırganın bir Kubernetes kümesini devralmasına izin verebilir.”
Bulut güvenlik firması Wiz’deki araştırmacılar, Kubernetes için güvenlik açıklarını keşfetti ve bildirdi ve yamaların hassaslaştırılmasına yardımcı oldular. Pazartesi günü Wiz, kendi korunan güvenlik açığı açıklamasını yayınladı. O zaman, firma, Kubernetes bulut ortamlarının% 43’ünü “Ingressnightmare” kusurları olarak adlandırdığını ve 6.500 kümenin herkese açık giriş Nginx denetleyicilerini maruz bıraktığını söyledi.
Saldırı yüzey yönetimi firması Censys Salı günü, sanal ana bilgisayarlar da dahil olmak üzere 5.000’den fazla ana bilgisayar gördüğünü ve Nginx Ingress denetleyicilerini doğrudan internete maruz bıraktığını bildirdi, bu da onları “potansiyel olarak” istismara karşı savunmasız hale getirdi.
Perşembe günü, Shadowserver Vakfı “yaklaşık 4.000 IPS maruz kaldığını” gördüğünü bildirdi ve bunun “olası CVE-2025-1974” olarak izlendi. Bu isimlendirmenin öne çıktığı gibi, hizmeti ortaya çıkarmak, denetleyicinin henüz yamalı olup olmadığını ortaya koymaz, ancak birden fazla araştırmacı bu pozlamanın güvensiz bir uygulama olduğu konusunda uyarmıştır.
Censys, “Ingress denetleyicileri asla bu şekilde internete maruz kalmamalı, sömürülebilir ya da yok.” Dedi.
İşte nedeni: Kubernetes denetleyicileri, anında, trafiğin nasıl kontrol edileceğine dair yeni bir yapılandırma üretiyor, ‘giriş’ isteğine ve denetleyiciye erişimi olan herkes tarafından sağlanan bir yapılandırma şablonuna “dayanıyor. “Bu, doğru ağ erişimine ve bu giriş inceleme isteklerinden birini gönderme yeteneğine sahipseniz, denetleyiciye ‘kötü amaçlı’ Nginx yapılandırması oluşturmasını sağlayabileceğiniz anlamına gelir.”
Salı günü itibariyle, uzaktan yürütülebilen kodu kullanabilen CVE-2025-1974 için en az bir istismar yayınlandı. Rapid7’nin daha azı, “Bu istismar doğrulanmamış, ancak savunmasızlık anlayışımıza dayanarak, geçerli görünüyor.” Dedi.