Выявлены критические уязвимости в Ingress NGINX для K8s: пользователи Deckhouse Kubernetes Platform в безопасности
В конце марта 2025 года в Ingress NGINX Controller обнаружили сразу несколько критических уязвимостей, получивших кодовое название IngressNightmare. По оценкам Wiz, этим уязвимостям подвержено около 43 % облачных окружений. Проблема настолько серьёзна, что злоумышленник, имея доступ к admission webhook, может получить контроль над кластером Kubernetes, прочитав все секреты. Эксперты Kubernetes присвоили этой проблеме критический уровень опасности.
Команда Deckhouse быстро отреагировала на ситуацию, выпустив патчи для версий Deckhouse Kubernetes Platform (DKP) на второй день после обнаружения уязвимостей. Это позволило автоматически обновить кластеры пользователей с включённым автообновлением.
Уязвимости связаны с admission controller в Ingress NGINX. По умолчанию admission controllers доступны по сети без аутентификации, что делает их привлекательной целью для атак. Проблема в том, что вредоносный Ingress-объект, отправленный в admission webhook, позволяет внедрить произвольную конфигурацию NGINX. В результате NGINX validator выполняет код, и злоумышленник получает возможность выполнять команды от лица ingress-controller`а, а значит, получить доступ, например, к прикладным секретам в кластере.
Если управляющий порт ingress-controller'а, на котором работает admission webhook, доступен извне, это может стать прямым путём для взлома. Wiz нашли более 6500 кластеров с публичным доступом к ingress-controller'у.
На следующий день после обнаружения уязвимостей разработчики Ingress NGINX выпустили обновления версий 1.12.1 и 1.11.5, устраняющие эти уязвимости. При этом для полного исправления им пришлось отключить проверку сгенерированной конфигурации NGINX во время валидации Ingress-ресурсов.
Данные наших пользователей, использующих
Читать на habr.com

