Se han revelado
cinco vulnerabilidades críticas de seguridad en el controlador Ingress NGINX para Kubernetes que podrían provocar la ejecución remota de código no
autenticado, poniendo en riesgo inmediato a más de 6.500 clústeres al exponer el
componente a la red pública de internet.
Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097,
CVE-2025-1098 y CVE-2025-1974), con una puntuación máxima CVSS de 9,8, han
sido denominadas colectivamente como
IngressNightmare
por la firma de seguridad en la nube Wiz. Cabe destacar que
estas vulnerabilidades no afectan al
controlador Ingress NGINX, otra implementación del controlador Ingress para NGINX y NGINX Plus.
«La explotación de estas vulnerabilidades permite que los atacantes accedan
sin autorización a todos los secretos almacenados en todos los espacios de
nombres del clúster de Kubernetes, lo que puede resultar en la toma de
control del clúster», declaró la compañía.
IngressNightmare, en esencia, afecta al componente del controlador de Ingress NGINX para Kubernetes. El controlador Ingress NGINX es una implementación de Ingress que utiliza NGINX como proxy inverso y balanceador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a los servicios dentro de él.
Es uno de los Ingress más populares y un proyecto fundamental de Kubernetes. Aproximadamente el 43% de los entornos en la nube son vulnerables a estas
vulnerabilidades.
La vulnerabilidad se aprovecha del hecho de que los controladores de admisión,
implementados dentro de un pod de Kubernetes, son accesibles a través de la
red sin autenticación. En concreto, implica la inyección remota de una
configuración arbitraria de NGINX mediante el envío de un objeto de entrada
malicioso (también conocido como solicitudes AdmissionReview)
directamente al controlador de admisión, lo que provoca la ejecución de código
en el pod del controlador Ingress NGINX.
«Los privilegios elevados del controlador de admisión y la accesibilidad
ilimitada a la red crean una ruta de escalamiento crítica», explicó Wiz.
«Aprovechar esta falla permite a un atacante ejecutar código arbitrario y
acceder a todos los secretos del clúster en todos los espacios de nombres,
lo que podría llevar a la toma completa del clúster».
Las deficiencias se enumeran a continuación:
- CVE-2025-24513 (CVSS: 4,8): una vulnerabilidad de validación de
entrada incorrecta que podría provocar un cruce de directorios dentro del
contenedor, lo que provoca una denegación de servicio (DoS) o una
divulgación limitada de objetos secretos del clúster cuando se combina con
otras vulnerabilidades. - CVE-2025-24514 (CVSS: 8,8): la anotación de Ingress auth-url
puede utilizarse para inyectar configuración en NGINX, lo que resulta en la
ejecución de código arbitrario en el contexto del controlador ingress-nginx
y la divulgación de secretos accesibles para el controlador. - CVE-2025-1097 (CVSS: 8,8): la anotación de Ingress
auth-tls-match-cn puede utilizarse para inyectar configuración en NGINX, lo
que resulta en la ejecución de código arbitrario en el contexto del
controlador ingress-nginx y la divulgación de secretos accesibles para el
controlador. Controlador - CVE-2025-1098 (CVSS: 8,8): Las anotaciones de Ingress en el
destino y el host del espejo pueden utilizarse para inyectar una
configuración arbitraria en NGINX, lo que resulta en la ejecución de código
arbitrario en el contexto del controlador Ingress-Nginx y la divulgación de
secretos accesibles para el controlador. - CVE-2025-1974 (CVSS: 9,8): Un atacante no autenticado con acceso
a la red de pods puede ejecutar código arbitrario en el contexto del
controlador Ingress-Nginx bajo ciertas condiciones.
En un escenario de
ataque experimental, un
atacante podría cargar una carga maliciosa en forma de biblioteca compartida
al pod utilizando la función de búfer del cuerpo del cliente de NGINX, y
posteriormente enviar una solicitud AdmissionReview al controlador de
admisión.
Hillai Ben-Sasson, investigador de seguridad en la nube de Wiz, declaró que la
cadena de ataque consiste esencialmente en inyectar una configuración
maliciosa y utilizarla para leer archivos confidenciales y ejecutar código
arbitrario. Esto podría permitir a un atacante abusar de una cuenta de
servicio robusta para leer secretos de Kubernetes y, en última instancia,
facilitar la toma de control del clúster.
En un aviso independiente, el Comité de Respuesta de Seguridad de Kubernetes
indicó
que todas las vulnerabilidades, con excepción de CVE-2025-1974, se refieren a
mejoras en la forma en que Ingress NGINX gestiona ciertos parámetros de
configuración. Por otro lado, la vulnerabilidad CVE-2025-1974 puede combinarse
con otras vulnerabilidades para facilitar la toma de control del clúster sin
requerir credenciales ni acceso administrativo.
Tras una divulgación responsable, las vulnerabilidades se han solucionado
en las versiones 1.12.1, 1.11.5 y 1.10.7 del controlador Ingress
NGINX. Se recomienda:
- Actualizar a la última versión del controlador NGINX de Ingress.
- Asegurar de que el punto final del webhook de admisión no esté expuesto externamente.
- Puede usar esta plantilla de Nuclei para comprobar si hay controladores de admisión Ingress-NGINX expuestos.
Como mitigación, se recomienda limitar el acceso al controlador de admisión
únicamente al servidor de API de Kubernetes y deshabilitar temporalmente dicho
componente si no es necesario.
Ya existe exploit públicos y los detalles técnicos se pueden encontrar en WIZ.
Fuente:
THN