Você sabia que milhares de clusters Kubernetes estão expostos a ataques graves na internet? Recentemente, uma vulnerabilidade crítica no Ingress-Nginx Controller foi descoberta, permitindo a invasão completa de sistemas. Prepare-se para mergulhar nesse assunto crucial para a segurança da sua infraestrutura!
Vulnerabilidade Crítica no Ingress-Nginx
Pesquisadores de segurança descobriram falhas graves no componente de controlador de admissão do Ingress-Nginx Controller. Essas falhas podem levar à tomada completa de clusters Kubernetes. Estima-se que mais de 6.000 implantações estejam em risco na internet.
Muitos clusters Kubernetes são expostos a tráfego HTTP/S externo para permitir acesso a aplicativos. No entanto, expor o controlador de admissão do cluster dessa forma é um risco significativo. O acesso externo a um cluster é conhecido como ingress. As regras de ingress são definidas em objetos de ingress e processadas por um controlador de ingress.
Como Funciona o Ingress-Nginx
O Ingress-Nginx traduz as definições dos objetos de ingress em configurações para o Nginx, um poderoso servidor web open source. O Nginx usa essa configuração para aceitar e direcionar solicitações para os diversos aplicativos em execução dentro do cluster Kubernetes. O gerenciamento correto desses parâmetros de configuração do Nginx é crucial para evitar ações indesejadas.
Infelizmente, o Ingress-Nginx não está lidando com esses parâmetros corretamente. O controlador de admissão do Ingress-Nginx constrói uma configuração Nginx a partir do objeto ingress recebido e a valida usando o binário Nginx. A vulnerabilidade permite a injeção de uma configuração Nginx arbitrária remotamente, enviando um objeto ingress malicioso diretamente ao controlador de admissão.
Consequências da Exploração da Vulnerabilidade
Controladores de admissão têm privilégios elevados e acessibilidade de rede irrestrita. A execução de malware pelo validador Nginx pode causar estragos. A exploração dessa falha permite que um invasor execute código arbitrário e acesse todos os segredos do cluster em todos os namespaces, resultando na tomada completa do cluster.
Mais de 6.500 instalações Kubernetes publicamente acessíveis expõem controladores de admissão vulneráveis. Isso inclui algumas empresas da Fortune 500.
Correções e Soluções
A boa notícia é que as correções para cinco vulnerabilidades (CVE) foram lançadas em 10 de março. As versões 1.12.1 e 1.11.5 do Nginx Controller corrigem as falhas. A vulnerabilidade mais crítica (CVE-2025-1974) tem uma classificação de 9.8 no CVSS.
Se você não pode atualizar imediatamente, a recomendação é aplicar políticas de rede rígidas para que apenas o servidor API Kubernetes acesse o controlador de admissão, e desativar temporariamente o componente de controlador de admissão do Ingress-Nginx.
Atualize seus sistemas o mais rápido possível! Sua segurança depende disso.
Deixe seu comentário abaixo compartilhando suas experiências com segurança em Kubernetes!
Fonte: Theregister
