IngressNightmare: Kritische RCE-Sicherheitslücken in Ingress NGINX bedrohen Kubernetes-Cluster

Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.

Meta: Katrin Peter · 26.03.2025 · ⏳ 3 Minuten · Alle Blogs →
Tagskubernetes

Einleitung

Ingress Nightmare

In der Welt der Kubernetes-Orchestrierung spielt der Ingress NGINX Controller eine zentrale Rolle, da er als Gateway für den Datenverkehr zu den Applikationen innerhalb des Clusters dient. Jüngste Entdeckungen von Sicherheitsforschern zeigen jedoch, dass dieser essenzielle Bestandteil von Kubernetes erhebliche Sicherheitsrisiken birgt.

Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.

In diesem Artikel erklären wir die Auswirkungen der Schwachstellen, betroffene Systeme und die notwendigen Maßnahmen zur Absicherung von Kubernetes-Clustern.


Die Gefahr: Remote Code Execution (RCE) und komplette Cluster-Übernahme

Die entdeckten Schwachstellen ermöglichen es Angreifern, unauthentifizierten Code auf dem Ingress NGINX Controller auszuführen. Dadurch können sie Zugriff auf alle im Cluster gespeicherten Geheimnisse (Secrets) erhalten und unter Umständen die vollständige Kontrolle über das Cluster erlangen.

Da Ingress NGINX in den meisten Kubernetes-Umgebungen weit verbreitet ist, stellt diese Schwachstelle ein erhebliches Risiko dar.

Betroffene Systeme:

  • Etwa 43 % aller Cloud-Umgebungen sind verwundbar.
  • Mehr als 6.500 Kubernetes-Cluster weltweit sind betroffen.
  • Besonders gefährdet sind Cluster, die den Ingress NGINX Admission Controller öffentlich erreichbar machen.

Wie funktioniert der Angriff?

Die Sicherheitslücke betrifft insbesondere den Admission Controller von Ingress NGINX. Dieser ist standardmäßig netzwerkweit erreichbar und authentifiziert Anfragen nicht ausreichend.

Ein Angreifer kann folgende Schritte ausführen, um das System zu kompromittieren:

  1. Manipulierte Ingress-Objekt-Anfrage: Eine speziell präparierte Anfrage wird an den Admission Controller gesendet.
  2. Einschleusen von bösartiger Konfiguration: Der Controller validiert und akzeptiert die schädliche Konfiguration.
  3. Code-Ausführung: Während der Validierung wird der bösartige Code auf dem Ingress NGINX Controller ausgeführt.
  4. Ausweitung des Angriffs: Kombination mit SSRF-Angriffen (Server-Side Request Forgery) ermöglicht es, weitere interne Dienste anzugreifen.

Das Gefährliche an dieser Schwachstelle ist, dass Angreifer keine spezifischen Berechtigungen benötigen und bereits mit einem einzigen bösartigen Request eine Kompromittierung auslösen können.

Welche Maßnahmen sind notwendig?

Die gute Nachricht ist, dass es bereits Sicherheitspatches gibt. Unternehmen sollten unverzüglich handeln, um ihre Kubernetes-Cluster zu schützen.

1. Update auf die neueste Version

Die aktuelle, sichere Version des Ingress NGINX Controllers ist 1.12.1 oder 1.11.5. Alle vorherigen Versionen sind als unsicher einzustufen.

Wir haben daher heute alle Instanzen in unseren Managed Clustern auf die Version 0.4.12 des Helm Charts aktualisiert, um unsere Systeme abzusichern.

2. Admission Webhooks absichern

Falls der Admission Controller genutzt wird, sollte sichergestellt werden, dass er nicht öffentlich erreichbar ist. Dies kann durch folgende Maßnahmen erfolgen:

  • Netzwerk-Richtlinien anwenden, um den Zugriff auf den Admission Controller nur für den Kubernetes API-Server zu erlauben.
  • RBAC-Regeln überprüfen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.

3. Deaktivierung des Admission Controllers (falls kein Update möglich ist)

Falls ein sofortiges Update nicht durchgeführt werden kann, sollte der Admission Controller deaktiviert werden. Dies kann durch folgende Methoden erreicht werden:

  • Entfernen des Webhooks aus der Kubernetes-Validierungskonfiguration.
  • Deaktivierung des Admission Controllers in Helm, falls die Installation über Helm erfolgte.

4. Regelmäßige Sicherheitschecks durchführen

Um sich langfristig vor Schwachstellen zu schützen, empfehlen wir:

  • Security Scanning Tools wie Trivy oder kubebench zu verwenden.
  • Auditing aktivieren, um verdächtige Ingress-Objekt-Änderungen zu erkennen.
  • Zero-Trust-Prinzipien umzusetzen, um unautorisierte Zugriffe zu minimieren.

Fazit

Die IngressNightmare-Schwachstellen zeigen erneut, wie wichtig es ist, Kubernetes-Cluster regelmäßig zu patchen und Sicherheitskonfigurationen zu überprüfen. Da Ingress NGINX in fast jedem Kubernetes-Cluster eingesetzt wird, stellt diese Schwachstelle eine ernsthafte Gefahr dar.

Durch unser schnelles Handeln und das Update auf Version 0.4.12 haben wir sichergestellt, dass unsere Systeme vor diesen Angriffen geschützt sind. Unternehmen sollten dringend ihre Umgebung analysieren und, falls sie betroffen sind, unverzüglich Updates und Sicherheitsmaßnahmen durchführen.

Die Sicherheit von Kubernetes ist ein kontinuierlicher Prozess – mit regelmäßigen Updates und einer durchdachten Sicherheitsstrategie können Unternehmen ihre Systeme jedoch wirksam schützen.

ayedo Alien Kubernetes Hat

Hosten Sie Ihre Apps bei ayedo

Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.

Jetzt ausprobieren →

Ähnliche Inhalte

Alle Blogs →



Katrin Peter · 03.06.2025 · ⏳ 2 Minuten

Application Performance sollte messbar sein — jederzeit, in Echtzeit

Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …

Lesen →

Application Performance sollte messbar sein — jederzeit, in Echtzeit
Katrin Peter · 03.06.2025 · ⏳ 2 Minuten

Warum betreibt ihr eure App eigentlich noch selbst?

Die Frage stellt sich immer wieder. Entwicklerteams liefern Features, optimieren Releases, bauen saubere Architekturen — und dann hängen sie trotzdem noch in der Infrastruktur. Kubernetes-Cluster …

Lesen →

Warum betreibt ihr eure App eigentlich noch selbst?
Katrin Peter · 03.06.2025 · ⏳ 2 Minuten

IIoT-Daten nützen nichts, wenn sie in der Maschine vergammeln

Die meisten IIoT-Projekte scheitern nicht an den Maschinen. Die Sensorik läuft. Die Steuerungen liefern Daten. Die Netzwerke übertragen Pakete. Das Problem beginnt eine Ebene höher: Die Daten landen …

Lesen →

IIoT-Daten nützen nichts, wenn sie in der Maschine vergammeln
Katrin Peter · 03.06.2025 · ⏳ 3 Minuten

App-Hosting auf Kubernetes — komplett gemanaged

Softwareentwicklung endet nicht beim Code Wer heute Applikationen für Kunden entwickelt, steht schnell vor dem nächsten Thema: Wie wird die Software produktiv betrieben? Wo laufen Staging und …

Lesen →

App-Hosting auf Kubernetes — komplett gemanaged
Katrin Peter · 01.06.2025 · ⏳ 4 Minuten

IT/OT-Integration mit Kubernetes: Architektur für industrielle Echtzeitdatenverarbeitung

Warum IT und OT zusammenwachsen müssen In modernen Industrieumgebungen entstehen an der Schnittstelle zwischen Produktion und Unternehmens-IT zunehmend komplexe Datenströme. Produktionsanlagen, …

Lesen →

IT/OT-Integration mit Kubernetes: Architektur für industrielle Echtzeitdatenverarbeitung

Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →


Noch Fragen? Melden Sie sich!

Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.

Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.