IngressNightmare: Kritische RCE-Sicherheitslücken in Ingress NGINX bedrohen Kubernetes-Cluster

Einleitung

In der Welt der Kubernetes-Orchestrierung spielt der Ingress NGINX Controller eine zentrale Rolle, da er als Gateway für den Datenverkehr zu den Applikationen innerhalb des Clusters dient. Jüngste Entdeckungen von Sicherheitsforschern zeigen jedoch, dass dieser essenzielle Bestandteil von Kubernetes erhebliche Sicherheitsrisiken birgt.

Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.

In diesem Artikel erklären wir die Auswirkungen der Schwachstellen, betroffene Systeme und die notwendigen Maßnahmen zur Absicherung von Kubernetes-Clustern.

Die Gefahr: Remote Code Execution (RCE) und komplette Cluster-Übernahme

Die entdeckten Schwachstellen ermöglichen es Angreifern, unauthentifizierten Code auf dem Ingress NGINX Controller auszuführen. Dadurch können sie Zugriff auf alle im Cluster gespeicherten Geheimnisse (Secrets) erhalten und unter Umständen die vollständige Kontrolle über das Cluster erlangen.

Da Ingress NGINX in den meisten Kubernetes-Umgebungen weit verbreitet ist, stellt diese Schwachstelle ein erhebliches Risiko dar.

Betroffene Systeme:

• Etwa 43 % aller Cloud-Umgebungen sind verwundbar.
• Mehr als 6.500 Kubernetes-Cluster weltweit sind betroffen.
• Besonders gefährdet sind Cluster, die den Ingress NGINX Admission Controller öffentlich erreichbar machen.

Wie funktioniert der Angriff?

Die Sicherheitslücke betrifft insbesondere den Admission Controller von Ingress NGINX. Dieser ist standardmäßig netzwerkweit erreichbar und authentifiziert Anfragen nicht ausreichend.

Ein Angreifer kann folgende Schritte ausführen, um das System zu kompromittieren:

1. Manipulierte Ingress-Objekt-Anfrage: Eine speziell präparierte Anfrage wird an den Admission Controller gesendet.
2. Einschleusen von bösartiger Konfiguration: Der Controller validiert und akzeptiert die schädliche Konfiguration.
3. Code-Ausführung: Während der Validierung wird der bösartige Code auf dem Ingress NGINX Controller ausgeführt.
4. Ausweitung des Angriffs: Kombination mit SSRF-Angriffen (Server-Side Request Forgery) ermöglicht es, weitere interne Dienste anzugreifen.

Das Gefährliche an dieser Schwachstelle ist, dass Angreifer keine spezifischen Berechtigungen benötigen und bereits mit einem einzigen bösartigen Request eine Kompromittierung auslösen können.

Welche Maßnahmen sind notwendig?

Die gute Nachricht ist, dass es bereits Sicherheitspatches gibt. Unternehmen sollten unverzüglich handeln, um ihre Kubernetes-Cluster zu schützen.

1. Update auf die neueste Version

Die aktuelle, sichere Version des Ingress NGINX Controllers ist 1.12.1 oder 1.11.5. Alle vorherigen Versionen sind als unsicher einzustufen.

Wir haben daher heute alle Instanzen in unseren Managed Clustern auf die Version 0.4.12 des Helm Charts aktualisiert, um unsere Systeme abzusichern.

2. Admission Webhooks absichern

Falls der Admission Controller genutzt wird, sollte sichergestellt werden, dass er nicht öffentlich erreichbar ist. Dies kann durch folgende Maßnahmen erfolgen:

• Netzwerk-Richtlinien anwenden, um den Zugriff auf den Admission Controller nur für den Kubernetes API-Server zu erlauben.
• RBAC-Regeln überprüfen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.

3. Deaktivierung des Admission Controllers (falls kein Update möglich ist)

Falls ein sofortiges Update nicht durchgeführt werden kann, sollte der Admission Controller deaktiviert werden. Dies kann durch folgende Methoden erreicht werden:

• Entfernen des Webhooks aus der Kubernetes-Validierungskonfiguration.
• Deaktivierung des Admission Controllers in Helm, falls die Installation über Helm erfolgte.

4. Regelmäßige Sicherheitschecks durchführen

Um sich langfristig vor Schwachstellen zu schützen, empfehlen wir:

• Security Scanning Tools wie Trivy oder kubebench zu verwenden.
• Auditing aktivieren, um verdächtige Ingress-Objekt-Änderungen zu erkennen.
• Zero-Trust-Prinzipien umzusetzen, um unautorisierte Zugriffe zu minimieren.

Fazit

Die IngressNightmare-Schwachstellen zeigen erneut, wie wichtig es ist, Kubernetes-Cluster regelmäßig zu patchen und Sicherheitskonfigurationen zu überprüfen. Da Ingress NGINX in fast jedem Kubernetes-Cluster eingesetzt wird, stellt diese Schwachstelle eine ernsthafte Gefahr dar.

Durch unser schnelles Handeln und das Update auf Version 0.4.12 haben wir sichergestellt, dass unsere Systeme vor diesen Angriffen geschützt sind. Unternehmen sollten dringend ihre Umgebung analysieren und, falls sie betroffen sind, unverzüglich Updates und Sicherheitsmaßnahmen durchführen.

Die Sicherheit von Kubernetes ist ein kontinuierlicher Prozess – mit regelmäßigen Updates und einer durchdachten Sicherheitsstrategie können Unternehmen ihre Systeme jedoch wirksam schützen.