Kritische Sicherheitslücke CVE-2025-1974 im Ingress NGINX Controller

von | März 25, 2025 | Blog | 0 Kommentare

IT-Sicherheit für Unternehmen

In der heutigen digitalen Landschaft, in der Cloud-Technologien und Container-Orchestrierung eine zentrale Rolle spielen, ist die Sicherheit von Kubernetes-Clustern von größter Bedeutung. Kürzlich wurden fünf kritische Sicherheitslücken im Ingress NGINX Controller für Kubernetes entdeckt, die als „IngressNightmare“ bezeichnet werden. Diese Sicherheitslücken, die die CVE-Nummern CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 und CVE-2025-1974 tragen, haben einen CVSS-Score von 9.8 und stellen ein erhebliches Risiko für über 6.500 Cluster dar. In diesem Artikel werden wir die Hintergründe, die Auswirkungen und die empfohlenen Maßnahmen zur Behebung dieser Sicherheitsprobleme detailliert beleuchten.

Was ist Ingress NGINX?

Ingress NGINX ist ein weit verbreiteter Ingress-Controller für Kubernetes, der NGINX als Reverse Proxy und Lastenausgleich verwendet. Er ermöglicht es, HTTP- und HTTPS-Routen von außen in die Dienste innerhalb eines Clusters zu exponieren. Die Sicherheit dieser Komponente ist entscheidend, da sie als Schnittstelle zwischen externen Anfragen und internen Diensten fungiert. Ein Angriff auf diese Komponente kann zu schwerwiegenden Sicherheitsvorfällen führen, einschließlich unbefugtem Zugriff auf sensible Daten.

Die Sicherheitslücken im Detail

Die fünf entdeckten Schwachstellen sind nicht nur zahlreich, sondern auch gravierend. Sie ermöglichen es Angreifern, unbefugten Zugriff auf alle Geheimnisse in einem Kubernetes-Cluster zu erlangen, was letztendlich zu einer vollständigen Übernahme des Clusters führen kann. Hier sind die Schwachstellen im Einzelnen:

  1. CVE-2025-24513 (CVSS-Score: 4.8): Diese Schwachstelle betrifft die unzureichende Eingangsvalidierung, die zu einem Verzeichnisdurchlauf innerhalb des Containers führen kann. In Kombination mit anderen Schwachstellen kann dies zu einem Denial-of-Service (DoS) oder einer eingeschränkten Offenlegung von Geheimnissen führen.
  2. CVE-2025-24514 (CVSS-Score: 8.8): Diese Schwachstelle ermöglicht es, die auth-url Ingress-Annotation zu verwenden, um Konfigurationen in NGINX einzuspeisen, was zu einer Ausführung beliebigen Codes im Kontext des Ingress-NGINX-Controllers führt.
  3. CVE-2025-1097 (CVSS-Score: 8.8): Ähnlich wie die vorherige Schwachstelle kann die auth-tls-match-cn Ingress-Annotation verwendet werden, um Konfigurationen in NGINX einzuspeisen und somit beliebigen Code auszuführen.
  4. CVE-2025-1098 (CVSS-Score: 8.8): Diese Schwachstelle betrifft die mirror-target und mirror-host Ingress-Annotationen, die ebenfalls zur Einspeisung beliebiger Konfigurationen in NGINX verwendet werden können.
  5. CVE-2025-1974 (CVSS-Score: 9.8): Diese kritische Schwachstelle ermöglicht es einem unbefugten Angreifer, der Zugriff auf das Pod-Netzwerk hat, beliebigen Code im Kontext des Ingress-NGINX-Controllers auszuführen.

Wie funktioniert der Angriff?

Die Angriffe nutzen die Tatsache aus, dass Admission-Controller, die innerhalb eines Kubernetes-Pods bereitgestellt werden, über das Netzwerk ohne Authentifizierung zugänglich sind. Ein Angreifer könnte beispielsweise eine bösartige Konfiguration in Form eines AdmissionReview-Antrags an den Admission-Controller senden. Dies führt dazu, dass eine schadhafte NGINX-Konfiguration in den Controller injiziert wird, was zu einer Remote-Code-Ausführung führt.

Ein experimentelles Angriffsszenario könnte folgendermaßen aussehen: Ein Bedrohungsakteur lädt eine bösartige Nutzlast in Form einer Shared Library in das Pod hoch, indem er die Client-Body-Buffer-Funktion von NGINX verwendet. Anschließend sendet er einen AdmissionReview-Antrag an den Admission-Controller, der eine der oben genannten Konfigurationsanweisungen enthält. Dies führt dazu, dass die Shared Library geladen wird, was effektiv zu einer Remote-Code-Ausführung führt.

Die Risiken für Unternehmen

Die Auswirkungen dieser Schwachstellen sind gravierend. Ein erfolgreicher Angriff könnte es einem Angreifer ermöglichen, auf alle Geheimnisse im Kubernetes-Cluster zuzugreifen. Dies könnte den Zugriff auf sensible Daten, wie API-Schlüssel, Datenbankanmeldeinformationen und andere vertrauliche Informationen, umfassen. Darüber hinaus könnte ein Angreifer, der Zugriff auf starke Service-Konten hat, diese nutzen, um Kubernetes-Geheimnisse zu lesen und letztendlich eine vollständige Übernahme des Clusters zu ermöglichen.

Empfehlungen zur Behebung der Schwachstellen

Nach der verantwortungsvollen Offenlegung der Schwachstellen wurden diese in den Versionen 1.12.1, 1.11.5 und 1.10.7 behoben. Es wird dringend empfohlen, dass alle Benutzer auf die neueste Version aktualisieren, um ihre Cluster zu schützen. Darüber hinaus sollten Unternehmen sicherstellen, dass der Admission-Controller nicht extern exponiert ist.

Zusätzlich zu den Updates gibt es einige empfohlene Maßnahmen zur Minderung der Risiken:

  • Zugriffssteuerung: Beschränken Sie den Zugriff auf den Admission-Controller nur auf den Kubernetes API-Server. Dies reduziert die Angriffsfläche erheblich.
  • Temporäre Deaktivierung: Wenn der Admission-Controller nicht benötigt wird, sollte er vorübergehend deaktiviert werden, um potenzielle Angriffe zu verhindern.
  • Monitoring und Logging: Implementieren Sie umfassende Überwachungs- und Protokollierungsmechanismen, um verdächtige Aktivitäten schnell zu erkennen und darauf zu reagieren.
  • Schulung und Sensibilisierung: Schulen Sie Ihr Team in Bezug auf Sicherheitsbest Practices und die Bedeutung der regelmäßigen Aktualisierung von Softwarekomponenten.

Fazit

Die Entdeckung der IngressNightmare-Schwachstellen verdeutlicht die Notwendigkeit, Sicherheitspraktiken in der Cloud und in Kubernetes-Umgebungen ernst zu nehmen. Angesichts der weitreichenden Auswirkungen, die ein erfolgreicher Angriff haben kann, ist es unerlässlich, proaktive Maßnahmen zu ergreifen, um die Sicherheit der Systeme zu gewährleisten. Unternehmen sollten sich der Risiken bewusst sein und sicherstellen, dass sie über die notwendigen Ressourcen und Strategien verfügen, um ihre Kubernetes-Cluster zu schützen. Indem sie die empfohlenen Updates und Sicherheitsmaßnahmen umsetzen, können sie die Wahrscheinlichkeit eines Angriffs erheblich reduzieren und die Integrität ihrer Daten und Systeme wahren.

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert