Am 24. März 2025 wurden mehrere kritische Schwachstellen im Kubernetes-Ingress-NGINX-Controller bekanntgegeben (zusammengefasst als „IngressNightmare“): CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974. Je nach CVE ermöglichen diese Angriffsfläche eine weitreichende Eskalation bis hin zur vollständigen Übernahme eines Kubernetes-Clusters, insbesondere indem Angreifer unautorisierten Zugriff auf alle Secrets in allen Namespaces erlangen können. Besonders kritisch ist CVE-2025-1974 (CVSS 9.8): Ein nicht authentifizierter Angreifer mit Zugriff auf das Pod-Netzwerk kann über ein bösartiges Ingress-Objekt im Admission-Controller des ingress-nginx beliebigen Code ausführen und damit potenziell den gesamten Cluster kompromittieren. Weitere, als „High“ eingestufte Schwachstellen (u. a. CVE-2025-24514, CVE-2025-1097, CVE-2025-1098) hängen mit einer fehlerhaften Behandlung von Ingress-Annotations zusammen, die ebenfalls Codeausführung oder unautorisierte Datenzugriffe ermöglichen können. CVE-2025-24513 (Medium) betrifft u. a. Directory Traversal und kann zu DoS oder zu begrenzter Secret-Offenlegung führen.
Die Wahrscheinlichkeit einer realen Exposition wurde als hoch beschrieben: In der Analyse fanden die Forscher Tausende betroffener Cluster, deren Admission-Controller öffentlich über das Internet erreichbar waren. Für die Abwehr empfiehlt der Beitrag zunächst, zu prüfen, ob ingress-nginx installiert ist und ob Versionen vor 1.11.5 bzw. speziell 1.12.0 betroffen sind. Als Gegenmaßnahmen werden ein Upgrade auf 1.12.1 oder 1.11.5 genannt. Zusätzlich soll der Netzwerkzugriff auf den Admission-Webhook (Port 8443) strikt auf den Kubernetes-API-Server begrenzt werden, um laterale Bewegungen kompromittierter Pods zu verhindern. Falls ein sofortiges Upgrade nicht möglich ist, wird als temporärer Workaround das Deaktivieren des Admission-Controllers beschrieben, wobei der Beitrag betont, dass dies nach dem Patchen wieder rückgängig gemacht werden muss. Abschließend ordnet der Artikel die Auswirkungen auf Managed-Plattformen ein: Viele Plattformen sind nur dann betroffen, wenn ingress-nginx tatsächlich manuell installiert wurde; andernfalls greifen die Patches nicht. Zur Erkennung und Verifikation werden außerdem Tools wie Aqua Hub sowie Trivy über KBOM/SBOM-Scanning und Konfigurationsprüfungen eingesetzt, um betroffene Komponenten, Versionen und fehlerhafte Ingress-Ressourcen/Annotations zu identifizieren.
Quelle: Aqua Security