Warum solltest du dich für IngressNightmare interessieren?
Diese Sicherheitslücken sind besonders gefährlich, weil Ingress-Nginx
ist dem Internet ausgesetzt, können Angreifer eine unauthentifizierte Remotecodeausführung (RCE) auf einem Ingress NGINX Admission Controller durchführen. Da Zugangscontroller standardmäßig clusterweit auf alle Secrets zugreifen können, kann IngressNightmare zu einer vollständigen Clusterübernahme führen. Was es noch kritischer macht, ist, dass satte 43% der Cloud-Umgebungen für diesen Angriffsvektor anfällig sind.
Daher ist es wichtig, alle Ingress-NGINX-Controller so schnell wie möglich zu aktualisieren. Wenn Sie derzeit kein Update durchführen können, sollten Sie die öffentliche Nutzung des NGINX Ingress-Controllers sofort deaktivieren.
Was ist Ingress NGINX Controller?
Ingress-NGINX-Controller ist eine weit verbreitete Kubernetes-Komponente, die für die Verwaltung des externen Zugriffs auf Dienste innerhalb eines Clusters verantwortlich ist. Der Controller fungiert als Reverse-Proxy und Load Balancer. Er verwaltet den externen Datenverkehrszugriff auf Dienste innerhalb des Kubernetes-Clusters und leitet den Datenverkehr auf der Grundlage von Regeln weiter, die in den Ingress-Ressourcen definiert sind.
Details zur Sicherheitslücke in IngressNight
IngressNightmare beinhaltet die folgenden Sicherheitslücken:
- CVE-2025-24513 (CVSS-Score: 4,8): Ein Sicherheitsproblem in
Ingress-Nginx
wobei vom Angreifer bereitgestellte Daten in einen Dateinamen aufgenommen werden vonIngress-Nginx
Admission Controller, was zu einer Verzeichnisdurchquerung innerhalb des Containers führt. Dies kann zu einer Diensteverweigerung oder, in Kombination mit anderen Sicherheitslücken, zu einer eingeschränkten Offenlegung geheimer Objekte aus dem Cluster führen. - CVE-2025-24514 (CVSS-Score: 8,8): Ein Sicherheitsproblem in
Ingress-Nginx
wo derAuth-URL
Ingress-Annotation kann verwendet werden, um die Konfiguration einzufügennginx
. Dies kann zur Ausführung von beliebigem Code im Kontext von führenIngress-Nginx
für die Verarbeitung Verantwortliche und Offenlegung von Geheimnissen, auf die der für die Verarbeitung Verantwortliche Zugriff hat. - CVE-2025-1097 (CVSS-Score: 8,8): Ein Sicherheitsproblem in
Ingress-Nginx
wo derauth-tls-match-cn
Ingress-Annotation kann verwendet werden, um die Konfiguration einzufügennginx
. Dies kann zur Ausführung von beliebigem Code im Kontext von führenIngress-Nginx
für die Verarbeitung Verantwortliche und Offenlegung von Geheimnissen, auf die der für die Verarbeitung Verantwortliche Zugriff hat. - CVE-2025-1098 (CVSS-Score: 8,8): Ein Sicherheitsproblem in
Ingress-Nginx
wo derSpiegelziel
undMirror-Host
Eingangsanmerkungen können verwendet werden, um eine beliebige Konfiguration innginx
. Dies kann zur Ausführung willkürlichen Codes im Kontext des Ingress-Nginx-Controllers und zur Offenlegung von Geheimnissen führen, auf die der Controller Zugriff hat. - CVE-2025-1974 (CVSS-Score: 9,8): Ein Sicherheitsproblem in Kubernetes, bei dem unter bestimmten Bedingungen ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk die Ausführung von beliebigem Code im Kontext von
Ingress-Nginx
Steuerung. Dies kann zur Offenlegung von Geheimnissen führen, auf die der für die Verarbeitung Verantwortliche Zugriff hat.
Woher weiß ich, ob ich betroffen bin?
Dieses Problem betrifft Ingress-Nginx
, das von der Kubernetes-Open-Source-Community verwaltet wird. Wenn Sie ingress-nginx nicht auf Ihrem Cluster installiert haben, sind Sie nicht betroffen. Beachten Sie das NGINX-Eingangskontroller, das offizielle Produkt von NGINX, ist nicht betroffen.
Nicht alle Versionen von Ingress-Nginx
sind betroffen. Die folgenden Versionen enthalten die Sicherheitslücken:
- Alle Versionen vor v1.11.0
- v1.11.0 - 1.11.4
- v1.12.0
So mildern Sie IngressNightmare
Um sich vor diesen Sicherheitslücken zu schützen, sollten Benutzer die folgenden Maßnahmen ergreifen:
- Aktualisieren Sie den Ingress NGINX Controller für Kubernetes: Stellen Sie sicher, dass Sie die neueste gepatchte Version des Ingress NGINX Controllers ausführen.
- Netzwerkrichtlinien anwenden: Minimiere die öffentliche Exposition und beschränke den Zugang zum
Ingress-Nginx
Zulassungskontrolleur. Erlauben Sie vorzugsweise nur den Zugriff vom Kubernetes-API-Server aus. - Protokolle überwachen und prüfen: Überwachen Sie die Protokolle kontinuierlich auf ungewöhnliche Anforderungsmuster und unbefugte Zugriffsversuche.
- Verwenden Sie Web Application Firewalls (WAFs): Stellen Sie eine WAF bereit, um bösartigen Datenverkehr zu filtern, der auf den Ingress-Controller abzielt.
Wenn Sie kein Upgrade durchführen können Ingress-Nginx
deaktivieren Sie sofort vorübergehend die Zugangscontroller-Komponente, um sich vor diesen Sicherheitsanfälligkeiten zu schützen.
Wie Mondoo helfen kann
Mondoo bietet ein Open-Source-Sicherheitsframework namens cnspec. cnspec steht der Community offen und ermöglicht es Ihnen, eine Verbindung zu Ihren Kubernetes-Umgebungen herzustellen und nach Sicherheitslücken und Fehlkonfigurationen zu suchen, einschließlich der IngressNightmare-Sicherheitslücken.
Finden Sie heraus, ob Sie verwundbar sind:
- Verbinden Sie cnspec mit Ihren Kubernetes-Umgebungen, indem Sie den cnspec-Anweisungen.
- Klonen Sie conspec-policies https://github.com/mondoohq/cnspec-policies.
- Führen Sie den cnspec-Scan aus.
git clone https://github.com/mondoohq/cnspec-policies.git
cd cnspec-policies
cnspec scan k8s -f core/vulnerabilities/mondoo-k8s-nginx-ingress-vulnerability.mql.yaml
cnspec verwendet Richtlinien als Code, um die Sicherheitsanfälligkeit zu erkennen. Dies bietet eine schnelle Möglichkeit, die Richtlinie bei Bedarf auch anzupassen.
k8s.deployments.where(labels["app.kubernetes.io/name"] == "ingress-nginx").none(
version( labels["app.kubernetes.io/version"] ) < version("1.11.5")
)
Sehen Sie sich die vollständige Richtlinie an hier.
Sobald der Scan abgeschlossen ist, gibt cnspec an, ob der Kubernetes-Cluster gefährdet ist:


Um detaillierte Ergebnisse des Scans zu sehen, führen Sie ihn mit dem --Ausgang voll
Flagge:
cnspec scan k8s -f core/vulnerabilities/mondoo-k8s-nginx-ingress-vulnerability.mql.yaml --output full

Über Mondoo
Die nicht authentifizierte RCE-Schwachstelle im Ingress NGINX Controller für Kubernetes unterstreicht, wie wichtig es ist, Ingress-Controller in Cloud-nativen Umgebungen zu sichern. Ein proaktiver Umgang mit Sicherheitsupdates und der Verbesserung der Konfiguration ist entscheidend, um sich vor den sich entwickelnden Bedrohungen in Kubernetes-Umgebungen zu schützen.
Hier kann Mondoo helfen. Ein intuitiver Plattform für das Expositionsmanagement Mondoo erkennt nicht nur Probleme, sondern hilft Ihnen auch, sie so schnell wie möglich zu beheben, und hilft Ihnen dabei, Ihre Sicherheitslage proaktiv zu stärken.
Mondoo identifiziert, priorisiert und adressiert Schwachstellen und Fehlkonfigurationen in Ihrer gesamten IT-Infrastruktur und SDLC über eine einzige Schnittstelle — für On-Premise, Cloud, SaaS und Endgeräte. Im Gegensatz zu isolierten Ansätzen ermöglicht Ihnen Mondoo, Ihre dringendsten Risiken schnell zu verstehen und schnelle Abhilfemaßnahmen einzuleiten, wodurch optimierte Sicherheitsmaßnahmen gewährleistet und die Sicherheitslage erheblich verbessert werden.