Se ha revelado un conjunto de cinco deficiencias críticas de seguridad en el regulador de entrada Nginx para Kubernetes que podrían dar empleo a una ejecución de código remoto no autenticado, poniendo más de 6.500 grupos con aventura inmediato al exponer el componente a Internet sabido.
Las vulnerabilidades (CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 y CVE-2025-1974), se han asignado una puntuación CVSS de 9.8, han sido colectivamente nombrados por codificación de la empresa de seguridad de la cirro por la firma de seguridad de la cirro Wiz. Vale la pena señalar que las deficiencias no afectan el regulador de entrada Nginx, que es otra implementación del regulador de ingreso para NGINX y NGINX Plus.
«La explotación de estas vulnerabilidades conduce al ataque no competente a todos los secretos almacenados en todos los espacios de nombres en el clúster Kubernetes por parte de los atacantes, lo que puede provocar la adquisición de clúster», dijo la compañía en un crónica compartido con las informativo de Hacker.
Ingressnightmare, en su núcleo, afecta el componente del regulador de admisión del regulador de entrada Nginx para Kubernetes. Más o menos del 43% de los entornos en la cirro son vulnerables a estas vulnerabilidades.
Ingress Nginx Controller utiliza NGINX como un proxy inverso y un equilibrador de carga, lo que permite exponer rutas HTTP y HTTPS desde fuera de un clúster a servicios internamente de él.
La vulnerabilidad aprovecha el hecho de que los controladores de admisión, implementados internamente de un POD de Kubernetes, son accesibles a través de la red sin autenticación.
Específicamente, implica inyectar una configuración de Nginx arbitraria de forma remota enviando un objeto de entrada receloso (además conocido como solicitudes de admisión) directamente al regulador de admisión, lo que resulta en la ejecución del código en el POD del regulador Nginx del ingreso.
«Los privilegios elevados del regulador de admisión y la accesibilidad de la red sin restricciones crean una ruta de ascenso crítica», explicó Wiz. «La explotación de este defecto permite que un atacante ejecute código parcial y acceda a todos los secretos de clúster en los espacios de nombres, lo que podría conducir a la adquisición completa del clúster».
Las deficiencias se enumeran a continuación –
- CVE-2025-24514 -inyección de anotación de autenticación
- CVE-2025-1097 -inyección de anotación Auth-TLS-Match-CN
- CVE-2025-1098 – Inyección de espejo uid
- CVE-2025-1974 – Ejecución del código de configuración de Nginx
En un decorado de ataque real, un actor de amenaza podría cargar una carga útil maliciosa en forma de una biblioteca compartida a la cápsula utilizando la función de buffer de cuerpo cliente de Nginx, seguido de destinar una solicitud de admisión al regulador de admisión.
La solicitud, a su vez, contiene una de las inyecciones de la Directiva de configuración antiguamente mencionada que hace que la biblioteca compartida se cargue, lo que lleva efectivamente a la ejecución de código remoto.
Hillai Ben-Sasson, investigador de seguridad en la cirro de Wiz, dijo a The Hacker News que la condena de ataque esencialmente implica inyectar configuración maliciosa y utilizarla para acertar archivos confidenciales y ejecutar código parcial. Después, esto podría permitir que un atacante abusara de una cuenta de servicio sólida para acertar los secretos de Kubernetes y, en última instancia, favorecer la adquisición del clúster.
Luego de la divulgación responsable, las vulnerabilidades se han abordado en las versiones del regulador Nginx Ingress 1.12.1, 1.11.5 y 1.10.7.
Se recomienda a los usuarios que se actualicen a la última traducción lo antiguamente posible y se aseguren de que el punto final de admisión Webhook no esté expuesto externamente.
Como mitigaciones, se recomienda condicionar solo el servidor de la API de Kubernetes para alcanzar al regulador de admisión y deshabilitar temporalmente el componente del regulador de admisión si no es necesario.
