Um conjunto de cinco falhas críticas de segurança foi revelado no Ingress NGINX Controller para Kubernetes, possibilitando a execução remota de código (RCE) sem autenticação. Essa brecha coloca mais de 6.500 clusters em risco imediato, especialmente aqueles expostos à internet pública.
As vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 e CVE-2025-1974), todas com pontuação CVSS 9.8, foram batizadas coletivamente de IngressNightmare pela empresa de segurança em nuvem Wiz. Vale destacar que essas falhas não afetam o NGINX Ingress Controller, que é outra implementação de controlador de entrada baseada em NGINX e NGINX Plus.
Segundo a Wiz, a exploração dessas vulnerabilidades permite a hackers acessarem todos os segredos armazenados em todos os namespaces do cluster Kubernetes, o que pode resultar na tomada de controle total do ambiente. O IngressNightmare afeta diretamente o componente admission controller do Ingress NGINX Controller. Estima-se que cerca de 43% dos ambientes em nuvem estejam vulneráveis.
O Ingress NGINX Controller utiliza o NGINX como proxy reverso e balanceador de carga, permitindo expor rotas HTTP e HTTPS de fora do cluster para serviços internos. A falha explora o fato de que o admission controller, implantado em um pod Kubernetes, é acessível pela rede sem necessidade de autenticação.
Especificamente, a vulnerabilidade permite injetar remotamente uma configuração arbitrária no NGINX, por meio do envio de um objeto malicioso do tipo Ingress (ou seja, uma requisição AdmissionReview) diretamente ao admission controller. Isso resulta na execução de código dentro do pod do Ingress NGINX Controller.
“A combinação de privilégios elevados e acesso irrestrito ao admission controller cria um caminho crítico de escalonamento”, explicou a Wiz. “Ao explorar essa falha, um hacker pode executar código arbitrário e acessar todos os segredos do cluster, o que pode levar à sua completa tomada.”
As falhas são detalhadas abaixo:
CVE-2025-24514 – Injeção de Anotação auth-url
CVE-2025-1097 – Injeção de Anotação auth-tls-match-cn
CVE-2025-1098 – Injeção de UID de espelhamento
CVE-2025-1974 – Execução de Código via Configuração do NGINX
Em um cenário de ataque experimental, um hacker poderia carregar uma biblioteca maliciosa no pod usando o recurso de buffer client-body do NGINX, seguido pelo envio de uma requisição AdmissionReview com diretivas de configuração que forçam o carregamento da biblioteca — efetivamente permitindo execução remota de código.
Hillai Ben-Sasson, pesquisador de segurança na nuvem da Wiz, disse que a cadeia de ataque envolve a injeção de configurações maliciosas, que podem ser usadas para ler arquivos sensíveis e executar comandos arbitrários. Isso pode permitir que o invasor abuse de uma Service Account privilegiada para acessar segredos do Kubernetes e, em última instância, assumir o controle do cluster.
Após divulgação responsável, as vulnerabilidades foram corrigidas nas versões 1.12.1, 1.11.5 e 1.10.7 do Ingress NGINX Controller.
Recomenda-se que os usuários atualizem para a versão mais recente o quanto antes e garantam que o endpoint do admission webhook não esteja exposto externamente. Como medidas de mitigação, é aconselhável restringir o acesso ao admission controller apenas ao servidor da API do Kubernetes e, se possível, desativar temporariamente esse componente se ele não estiver sendo utilizado.
Via - THN
Comments