Πρόσφατα, αποκαλύφθηκε ένα σύνολο πέντε κρίσιμων ευπαθειών στο Ingress NGINX Controller του Kubernetes, γνωστές συλλογικά ως “IngressNightmare”. Αυτές οι ευπάθειες επιτρέπουν την μη εξουσιοδοτημένη απομακρυσμένη εκτέλεση κώδικα, θέτοντας σε άμεσο κίνδυνο περισσότερα από 6.500 clusters που εκθέτουν αυτό το component στο δημόσιο διαδίκτυο.
Το Ingress NGINX Controller αποτελεί έναν από τους πιο διαδεδομένους ingress controllers για Kubernetes και χρησιμοποιείται ευρέως ως reverse proxy και load balancer. Αυτό σημαίνει ότι κάθε τρωτό σημείο του ενδέχεται να επηρεάσει ένα μεγάλο μέρος της υποδομής των cloud εφαρμογών.
Λεπτομέρειες των ευπαθειών
Οι ευπάθειες, με κωδικούς CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 και CVE-2025-1974, έχουν βαθμολογηθεί με CVSS σκορ έως 9.8, υποδηλώνοντας την κρίσιμη σοβαρότητά τους. Οι τρεις από αυτές (CVE-2025-24514, CVE-2025-1097 και CVE-2025-1098) επιτρέπουν σε επιτιθέμενους να εισάγουν αυθαίρετες οδηγίες διαμόρφωσης στο NGINX, ενώ η CVE-2025-1974 επιτρέπει την απομακρυσμένη εκτέλεση κώδικα από μη αυθεντικοποιημένους επιτιθέμενους με πρόσβαση στο δίκτυο του pod.
Η κύρια αδυναμία εντοπίζεται στον admission controller του Ingress NGINX Controller, ο οποίος είναι προσβάσιμος μέσω του δικτύου χωρίς μηχανισμούς αυθεντικοποίησης. Αυτό δίνει τη δυνατότητα σε έναν επιτιθέμενο να στείλει κακόβουλα AdmissionReview requests και να εκτελέσει αυθαίρετο κώδικα στο pod του controller.
Επιπτώσεις
Η εκμετάλλευση αυτών των ευπαθειών μπορεί να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε όλα τα secrets που είναι αποθηκευμένα σε όλα τα namespaces ενός Kubernetes cluster, επιτρέποντας την πλήρη κατάληψή του. Σύμφωνα με έρευνα της Wiz, περίπου το 43% των cloud περιβαλλόντων είναι ευάλωτα σε αυτές τις ευπάθειες.
Η επίθεση μπορεί να πραγματοποιηθεί με τη χρήση μιας κακόβουλης shared library και την εκμετάλλευση του client-body buffer του NGINX. Ο επιτιθέμενος μπορεί να διαβάσει ευαίσθητα αρχεία και να αποκτήσει πρόσβαση σε Service Accounts με υψηλά privileges, διευκολύνοντας έτσι την κατάληψη του cluster.
Συστάσεις
Για την αντιμετώπιση αυτών των ευπαθειών, συνιστάται:
- Άμεση αναβάθμιση του Ingress NGINX Controller στις εκδόσεις 1.12.1, 1.11.5 ή 1.10.7, όπου έχουν διορθωθεί αυτές οι ευπάθειες.
- Περιορισμός της πρόσβασης στο admission webhook endpoint, διασφαλίζοντας ότι δεν είναι εκτεθειμένο εξωτερικά.
- Εφαρμογή αυστηρών πολιτικών δικτύου, ώστε μόνο ο Kubernetes API Server να έχει πρόσβαση στον admission controller.
- Προσωρινή απενεργοποίηση του admission controller component, εάν δεν είναι απαραίτητο, μέχρι να πραγματοποιηθεί η αναβάθμιση.
- Ενίσχυση της παρακολούθησης και logging των pods του ingress-nginx ώστε να εντοπίζονται ύποπτες ή μη αναμενόμενες αιτήσεις AdmissionReview.
Ανάλυση και προεκτάσεις
Η υπόθεση “IngressNightmare” δεν αποτελεί απλώς μία σειρά από CVEs· πρόκειται για ένα wake-up call για την κοινότητα του Kubernetes και του cloud native computing γενικότερα. Καθώς η υιοθέτηση του Kubernetes αυξάνεται, η ανάγκη για ασφαλή αρχιτεκτονική και περιορισμό της επιφάνειας επίθεσης γίνεται πιο επιτακτική από ποτέ.
Το συγκεκριμένο συμβάν φανερώνει επίσης τον κίνδυνο που ενέχουν τα components με elevated privileges όταν εκτίθενται σε μη προστατευμένα δίκτυα. Επιπλέον, αναδεικνύει τη σημασία του defense-in-depth: ακόμα και αν υπάρξει μια παραβίαση σε ένα pod, η πρόσβαση στα υπόλοιπα συστατικά του cluster θα πρέπει να είναι περιορισμένη μέσω κατάλληλων RBAC κανόνων, NetworkPolicies και segmentation.
Για τους παρόχους managed Kubernetes, όπως AWS (EKS), Google Cloud (GKE) και Azure (AKS), η ευπάθεια αυτή αποτελεί ένα κρίσιμο σημείο αξιολόγησης των default configurations τους. Ήδη, πολλοί έχουν εκδώσει advisories ή αυτόματες ενημερώσεις για clusters με εκτεθειμένα ingress controllers.
Συμπέρασμα
Οι ευπάθειες IngressNightmare υπογραμμίζουν τη σημασία της συνεχούς παρακολούθησης και ενημέρωσης των συστημάτων Kubernetes για τη διατήρηση της ασφάλειας. Οι διαχειριστές συστημάτων πρέπει να δράσουν άμεσα για να προστατεύσουν τα clusters τους από πιθανές επιθέσεις.
Παράλληλα, είναι αναγκαίο να ενισχυθούν τα συστήματα ανίχνευσης και απόκρισης σε περιστατικά ασφαλείας και να αναθεωρηθούν τα security baselines των cluster υποδομών με γνώμονα το principle of least privilege και την ανάγκη αποφυγής single points of failure.
Πηγές: Kubernetes, Wiz, TheHackerNews
