Bulut güvenliği, güvenlik işlemleri
Hemen Yamalama, yaygın olarak kullanılan Ingress Nginx denetleyicisinde kusurları ele almaya çağırıldı
Mathew J. Schwartz (Euroinfosec) •
24 Mart 2025
Araştırmacılar, popüler Kubernetes konteyner yönetim sistemindeki kritik güvenlik açıklarının, saldırganların bulut tabanlı uygulamaların, yönetim arayüzlerinin ve daha fazlasının kontrolünü ele geçirmesini önlemek için derhal yamalanmaya ihtiyacı var.
Ayrıca bakınız: AI güdümlü teknolojilerle bulut güvenliğini geliştirin
Pazartesi günü açık kaynaklı Kubernetes projesi, Ingress Nginx Denetleyici Sürümleri 1.12.1, 1.11.5 ve 1.10.7’yi yayınladı. Çekirdek proje ekibi tarafından tutulan kontrolör, Kubernetes uygulamalarına harici erişim sağlamak için yaygın olarak kullanılır.
Kubernetes, kapsayıcı iş yüklerini ve hizmetlerini yönetmek için popüler bir açık kaynak platformudur. Sistem, yazılım dağıtımından ölçeklendirme ve yönetime kadar her şeyi otomatikleştirir.
Bu güvenlik açıklarından yararlanan saldırganlar, bulut güvenlik firması Wiz’den – kusurları keşfeden – KUBERNETES kümesindeki tüm ad alanlarda saldırganlar tarafından depolanan tüm sırlara yetkisiz erişim sağlayabilirler.
6.500 internete bakan Kubernetes kümelerinin yaklaşık% 43’ü savunmasız giriş denetleyicilerini çalıştırıyor ve bu kuruluşları yazılımı yamalayana kadar “hemen, kritik riskte” bırakıyor.
Güncellemeler, denetleyici yazılımdaki savunmasız Kubernetes ortamlarında uzaktan kod yürütmek için zincirlenebilen dört kritik uzaktan kumanda yürütme güvenlik açıklarını giderir. Saldırı vektörü, uzaktan sömürü riski nedeniyle 10 üzerinden 9,8’lik bir CVSS taban skoruna sahiptir.
Wiz, savunmasız teknolojiyi kullanan tüm Kubernetes küme yöneticilerinin hemen en son sürümleri güncellemesi ve giriş konfigürasyonlarını doğrulayan bir uç noktaya atıfta bulunarak “Webhook uç noktasının harici olarak maruz kalmamasını” sağlamalıdır.
Hemen güncellenemeyen herhangi bir kuruluş için araştırmacılar, “katı ağ politikalarını yalnızca Kubernetes API sunucusuna erişebilmeleri için” katı ağ politikalarını uygulayarak uzlaşma riskini azaltmanızı önerir ve ayrıca “gerekli değilse Ingress-Nginx’in giriş denetleyicisi bileşenini geçici olarak devre dışı bırakır.”
Wiz araştırmacıları, 31 Aralık 2024’te Kubernetes Projesi’nin iki güvenlik açıkını bildirdi, ardından Ocak ayında diğer iki kusur izledi ve hepsinin bunları çözmek için birlikte çalıştıklarını söyledi. 10 Mart’ta Kubernetes, Kusurlar hakkında çok sayıda kuruluşa ambargo bildirimleri gönderdi-CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 ve CVE-2025-1974.
Pazartesi günü yayınlanan koordineli bir açıklama raporunda, Wiz araştırmacıları “IngressnightMare” olarak adlandırdıkları kusurları ve nasıl kullanılabileceklerini detaylandırdılar.
Güvenlik açıkları, popüler Nginx – HTTP Motor X ” – HTTP web sunucusu, ters proxy ve yük dengeleme yazılımına dayanan Kubernetes için Ingress Nginx denetleyicisinin giriş kontrolör bileşeninde bulunur.
Kubernetes bir küme mimarisine dayanmaktadır. Bir küme, bir kontrol düzleminin yanı sıra düğüm adı verilen işçi makinelerinden oluşur ve her bir düğüm bir veya daha fazla kapsayıcı uygulama çalıştırır. Veri akışlarını dışarıdan – HTTP ve HTTPS – kümeye bağlamak, Kubernetes API’sı aracılığıyla tanımlanan kurallar kullanılarak bir giriş olarak bilinen şey tarafından ele alınır. Kubernetes, “Bir girişin kümenizde çalışması için çalışan bir giriş denetleyicisi olmalı,” dedi.
Kubernetes kullanan organizasyonların% 40’ından fazlası Ingress Nginx denetleyicisini işletiyor. Wiz Araştırmacılar, “Kubernetes ve Kubernetes Yerli olmayan bir teknoloji olan Nginx konfigürasyonları arasında köprü kurmak için denetleyici, Kubernetes giriş nesnelerini NGINX konfigürasyonlarına çevirmeye çalışıyor.” Dedi. “Nginx sunucusunun stabilitesini sağlamak için denetleyici, son yapılandırmayı uygulamadan önce doğrulayan bir onaylama giriş webhook kullanır.”
Temel bir güvenlik zorluğu, “giriş denetleyicisinin” varsayılan olarak, çevrenin tüm sırlarına erişime izin veren bir Kubernetes rolüyle çalışan “kimlik doğrulanmamış bir HTTP uç noktası olmasıdır. Bu yüzden Wiz araştırmacıları ilk etapta araştırmaya başladılar, “büyük bir saldırı yüzeyi” sağlayabileceğinden ve kötü amaçlı kod enjeksiyonuna karşı savunmasız olabileceğinden şüpheleniyorlar. Daha sonra, ingress denetleyicisindeki kusurlar aracılığıyla kodu uzaktan yürütmenin yollarını buldular ve dört CVVE’ye yol açtılar.
Araştırmacılar, “Bize göre, bu saldırı yüzeyi çok daha iyi bir şekilde kısıtlanmalıdır: küme içindeki baklalardan erişimi kaldırmak ve bunu asla kamuya açıklamak.” Dedi. Diyerek şöyle devam etti: “Exploit kümenin kontrolünü ele geçirmek için ayrıcalıklarla sonuçlandığı için en az müstehcen tasarımın olmaması nedeniyle şaşırdık.”
Araştırmacılar, “perde arkasında böyle büyük bir kod tabanının ne ölçüde kullanıldığı” göz önüne alındığında, diğer Kubernetes giriş kontrolörlerinin benzer kusurlara sahip olabileceğini söyledi.
Kubernetes Projesi, Amazon Web Hizmetleri ve Google Cloud’un dahili uygulama yük dengeleyicisi için giriş denetleyicileri ile olduğu gibi Ingress Nginx denetleyicisini destekler ve korur. Otuz farklı harici proje ekibi, Azure, Citrix ve F5 dahil olmak üzere bir dizi başka ortam için giriş kontrolörleri sunar.