Sicherheitslücken

Die Richtlinie von Mondoo als Code erkennt IngressNightmare-Sicherheitslücken auf Kubernetes

Eine Reihe kritischer Sicherheitslücken im Ingress NGINX Controller für Kubernetes wurde von Wiz Research aufgedeckt, die als „IngressNightmare“ bezeichnet werden. Diese Kombination von fünf Sicherheitslücken (CVE-2025-24513, CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) bildet einen kritischen Angriffsvektor mit einem CVSS-Score von 9,8. Wenn anfällige Umgebungen ungeschützt und nicht gepatcht bleiben, besteht die unmittelbare Gefahr, dass sie übernommen werden. In diesem Blog erklären wir, wie Sie Mondoos Open-Source-CNSPEC verwenden können, um herauszufinden, ob Sie von diesen Sicherheitslücken betroffen sind, damit Sie sie so schnell wie möglich beheben und patchen können.

Warum solltest du dich für IngressNightmare interessieren?

Diese Sicherheitslücken sind besonders gefährlich, weil Ingress-Nginx ist dem Internet ausgesetzt, können Angreifer eine unauthentifizierte Remotecodeausführung (RCE) auf einem Ingress NGINX Admission Controller durchführen. Da Zugangscontroller standardmäßig clusterweit auf alle Secrets zugreifen können, kann IngressNightmare zu einer vollständigen Clusterübernahme führen. Was es noch kritischer macht, ist, dass satte 43% der Cloud-Umgebungen für diesen Angriffsvektor anfällig sind.

Daher ist es wichtig, alle Ingress-NGINX-Controller so schnell wie möglich zu aktualisieren. Wenn Sie derzeit kein Update durchführen können, sollten Sie die öffentliche Nutzung des NGINX Ingress-Controllers sofort deaktivieren.

Was ist Ingress NGINX Controller?

Ingress-NGINX-Controller ist eine weit verbreitete Kubernetes-Komponente, die für die Verwaltung des externen Zugriffs auf Dienste innerhalb eines Clusters verantwortlich ist. Der Controller fungiert als Reverse-Proxy und Load Balancer. Er verwaltet den externen Datenverkehrszugriff auf Dienste innerhalb des Kubernetes-Clusters und leitet den Datenverkehr auf der Grundlage von Regeln weiter, die in den Ingress-Ressourcen definiert sind.

Details zur Sicherheitslücke in IngressNight

IngressNightmare beinhaltet die folgenden Sicherheitslücken:

  • CVE-2025-24513 (CVSS-Score: 4,8): Ein Sicherheitsproblem in Ingress-Nginx wobei vom Angreifer bereitgestellte Daten in einen Dateinamen aufgenommen werden von Ingress-Nginx Admission Controller, was zu einer Verzeichnisdurchquerung innerhalb des Containers führt. Dies kann zu einer Diensteverweigerung oder, in Kombination mit anderen Sicherheitslücken, zu einer eingeschränkten Offenlegung geheimer Objekte aus dem Cluster führen.
  • CVE-2025-24514 (CVSS-Score: 8,8): Ein Sicherheitsproblem in Ingress-Nginx wo der Auth-URL Ingress-Annotation kann verwendet werden, um die Konfiguration einzufügen nginx. Dies kann zur Ausführung von beliebigem Code im Kontext von führen Ingress-Nginx für die Verarbeitung Verantwortliche und Offenlegung von Geheimnissen, auf die der für die Verarbeitung Verantwortliche Zugriff hat.
  • CVE-2025-1097 (CVSS-Score: 8,8): Ein Sicherheitsproblem in Ingress-Nginx wo der auth-tls-match-cn Ingress-Annotation kann verwendet werden, um die Konfiguration einzufügen nginx. Dies kann zur Ausführung von beliebigem Code im Kontext von führen Ingress-Nginx für die Verarbeitung Verantwortliche und Offenlegung von Geheimnissen, auf die der für die Verarbeitung Verantwortliche Zugriff hat.
  • CVE-2025-1098 (CVSS-Score: 8,8): Ein Sicherheitsproblem in Ingress-Nginx wo der Spiegelziel und Mirror-Host Eingangsanmerkungen können verwendet werden, um eine beliebige Konfiguration in nginx. Dies kann zur Ausführung willkürlichen Codes im Kontext des Ingress-Nginx-Controllers und zur Offenlegung von Geheimnissen führen, auf die der Controller Zugriff hat.
  • CVE-2025-1974 (CVSS-Score: 9,8): Ein Sicherheitsproblem in Kubernetes, bei dem unter bestimmten Bedingungen ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk die Ausführung von beliebigem Code im Kontext von Ingress-Nginx Steuerung. Dies kann zur Offenlegung von Geheimnissen führen, auf die der für die Verarbeitung Verantwortliche Zugriff hat.

Woher weiß ich, ob ich betroffen bin?

Dieses Problem betrifft Ingress-Nginx, das von der Kubernetes-Open-Source-Community verwaltet wird. Wenn Sie ingress-nginx nicht auf Ihrem Cluster installiert haben, sind Sie nicht betroffen. Beachten Sie das NGINX-Eingangskontroller, das offizielle Produkt von NGINX, ist nicht betroffen.

Nicht alle Versionen von Ingress-Nginx sind betroffen. Die folgenden Versionen enthalten die Sicherheitslücken:

  • Alle Versionen vor v1.11.0
  • v1.11.0 - 1.11.4
  • v1.12.0

So mildern Sie IngressNightmare

Um sich vor diesen Sicherheitslücken zu schützen, sollten Benutzer die folgenden Maßnahmen ergreifen:

  • Aktualisieren Sie den Ingress NGINX Controller für Kubernetes: Stellen Sie sicher, dass Sie die neueste gepatchte Version des Ingress NGINX Controllers ausführen.
  • Netzwerkrichtlinien anwenden: Minimiere die öffentliche Exposition und beschränke den Zugang zum Ingress-Nginx Zulassungskontrolleur. Erlauben Sie vorzugsweise nur den Zugriff vom Kubernetes-API-Server aus.
  • Protokolle überwachen und prüfen: Überwachen Sie die Protokolle kontinuierlich auf ungewöhnliche Anforderungsmuster und unbefugte Zugriffsversuche.
  • Verwenden Sie Web Application Firewalls (WAFs): Stellen Sie eine WAF bereit, um bösartigen Datenverkehr zu filtern, der auf den Ingress-Controller abzielt.

Wenn Sie kein Upgrade durchführen können Ingress-Nginx deaktivieren Sie sofort vorübergehend die Zugangscontroller-Komponente, um sich vor diesen Sicherheitsanfälligkeiten zu schützen.

Wie Mondoo helfen kann

Mondoo bietet ein Open-Source-Sicherheitsframework namens cnspec. cnspec steht der Community offen und ermöglicht es Ihnen, eine Verbindung zu Ihren Kubernetes-Umgebungen herzustellen und nach Sicherheitslücken und Fehlkonfigurationen zu suchen, einschließlich der IngressNightmare-Sicherheitslücken.

Finden Sie heraus, ob Sie verwundbar sind:

  1. Verbinden Sie cnspec mit Ihren Kubernetes-Umgebungen, indem Sie den cnspec-Anweisungen.
  2. Klonen Sie conspec-policies https://github.com/mondoohq/cnspec-policies.
  3. Führen Sie den cnspec-Scan aus.
git clone https://github.com/mondoohq/cnspec-policies.git
cd cnspec-policies
cnspec scan k8s -f core/vulnerabilities/mondoo-k8s-nginx-ingress-vulnerability.mql.yaml

cnspec verwendet Richtlinien als Code, um die Sicherheitsanfälligkeit zu erkennen. Dies bietet eine schnelle Möglichkeit, die Richtlinie bei Bedarf auch anzupassen.

k8s.deployments.where(labels["app.kubernetes.io/name"] == "ingress-nginx").none(
  version( labels["app.kubernetes.io/version"] ) < version("1.11.5")
)

Sehen Sie sich die vollständige Richtlinie an hier.

Sobald der Scan abgeschlossen ist, gibt cnspec an, ob der Kubernetes-Cluster gefährdet ist:

Der cnspec-Scan gibt zurück, dass der Kubernetes-Cluster nicht anfällig ist
cnspec stellt fest, dass der Kubernetes-Cluster anfällig ist

Um detaillierte Ergebnisse des Scans zu sehen, führen Sie ihn mit dem --Ausgang voll Flagge:

cnspec scan k8s -f core/vulnerabilities/mondoo-k8s-nginx-ingress-vulnerability.mql.yaml --output full
Detaillierte Ausgabe eines betroffenen Kubernetes-Clusters

Über Mondoo

Die nicht authentifizierte RCE-Schwachstelle im Ingress NGINX Controller für Kubernetes unterstreicht, wie wichtig es ist, Ingress-Controller in Cloud-nativen Umgebungen zu sichern. Ein proaktiver Umgang mit Sicherheitsupdates und der Verbesserung der Konfiguration ist entscheidend, um sich vor den sich entwickelnden Bedrohungen in Kubernetes-Umgebungen zu schützen.

Hier kann Mondoo helfen. Ein intuitiver Plattform für das Expositionsmanagement Mondoo erkennt nicht nur Probleme, sondern hilft Ihnen auch, sie so schnell wie möglich zu beheben, und hilft Ihnen dabei, Ihre Sicherheitslage proaktiv zu stärken.

Mondoo identifiziert, priorisiert und adressiert Schwachstellen und Fehlkonfigurationen in Ihrer gesamten IT-Infrastruktur und SDLC über eine einzige Schnittstelle — für On-Premise, Cloud, SaaS und Endgeräte. Im Gegensatz zu isolierten Ansätzen ermöglicht Ihnen Mondoo, Ihre dringendsten Risiken schnell zu verstehen und schnelle Abhilfemaßnahmen einzuleiten, wodurch optimierte Sicherheitsmaßnahmen gewährleistet und die Sicherheitslage erheblich verbessert werden.

Find and fix the security risks that pose the biggest threat to your business.

Problembehebung dreimal schneller mit Mondoo Unified Exposure Management

Deborah Galea

Deborah ist Direktorin für Produktmarketing bei Mondoo und leitet die Bereiche Messaging und Positionierung, Produkteinführungen und Vertriebsförderung. Sie verfügt über mehr als 20 Jahre Erfahrung in der Cybersicherheitsbranche. Vor ihrer Tätigkeit bei Mondoo war Deborah Direktorin für Produktmarketing bei Orca Security und hatte verschiedene Marketingpositionen bei anderen Cybersicherheitsunternehmen inne. Sie war Mitbegründerin des E-Mail-Sicherheitsunternehmens Red Earth Software, das 2014 vom Cybersicherheitsunternehmen OPSWAT übernommen wurde.

You might also like

Vergleiche
Mondoo gegen Tenable — Zehn Möglichkeiten, Tenable-Alternativen zu vergleichen
Sanierung
Wie wir unser Risiko in weniger als drei Stunden um 54% reduziert haben
Sanierung
Branchenweit erste Priorisierung von Problembehebungen unter Berücksichtigung der Auswirkungen und des Aufwands