Docker vs Kubernetes
Kubernetes vs. Docker – Warum du beides brauchst und nicht gegeneinander ausspielst Die Frage, ob man Kubernetes oder Docker verwenden sollte, ist vollkommen falsch gestellt. Die beiden Technologien …
Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.
In der Welt der Kubernetes-Orchestrierung spielt der Ingress NGINX Controller eine zentrale Rolle, da er als Gateway für den Datenverkehr zu den Applikationen innerhalb des Clusters dient. Jüngste Entdeckungen von Sicherheitsforschern zeigen jedoch, dass dieser essenzielle Bestandteil von Kubernetes erhebliche Sicherheitsrisiken birgt.
Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.
In diesem Artikel erklären wir die Auswirkungen der Schwachstellen, betroffene Systeme und die notwendigen Maßnahmen zur Absicherung von Kubernetes-Clustern.
Die entdeckten Schwachstellen ermöglichen es Angreifern, unauthentifizierten Code auf dem Ingress NGINX Controller auszuführen. Dadurch können sie Zugriff auf alle im Cluster gespeicherten Geheimnisse (Secrets) erhalten und unter Umständen die vollständige Kontrolle über das Cluster erlangen.
Da Ingress NGINX in den meisten Kubernetes-Umgebungen weit verbreitet ist, stellt diese Schwachstelle ein erhebliches Risiko dar.
Betroffene Systeme:
Die Sicherheitslücke betrifft insbesondere den Admission Controller von Ingress NGINX. Dieser ist standardmäßig netzwerkweit erreichbar und authentifiziert Anfragen nicht ausreichend.
Ein Angreifer kann folgende Schritte ausführen, um das System zu kompromittieren:
Das Gefährliche an dieser Schwachstelle ist, dass Angreifer keine spezifischen Berechtigungen benötigen und bereits mit einem einzigen bösartigen Request eine Kompromittierung auslösen können.
Die gute Nachricht ist, dass es bereits Sicherheitspatches gibt. Unternehmen sollten unverzüglich handeln, um ihre Kubernetes-Cluster zu schützen.
Die aktuelle, sichere Version des Ingress NGINX Controllers ist 1.12.1 oder 1.11.5. Alle vorherigen Versionen sind als unsicher einzustufen.
Wir haben daher heute alle Instanzen in unseren Managed Clustern auf die Version 0.4.12 des Helm Charts aktualisiert, um unsere Systeme abzusichern.
Falls der Admission Controller genutzt wird, sollte sichergestellt werden, dass er nicht öffentlich erreichbar ist. Dies kann durch folgende Maßnahmen erfolgen:
Falls ein sofortiges Update nicht durchgeführt werden kann, sollte der Admission Controller deaktiviert werden. Dies kann durch folgende Methoden erreicht werden:
Um sich langfristig vor Schwachstellen zu schützen, empfehlen wir:
Die IngressNightmare-Schwachstellen zeigen erneut, wie wichtig es ist, Kubernetes-Cluster regelmäßig zu patchen und Sicherheitskonfigurationen zu überprüfen. Da Ingress NGINX in fast jedem Kubernetes-Cluster eingesetzt wird, stellt diese Schwachstelle eine ernsthafte Gefahr dar.
Durch unser schnelles Handeln und das Update auf Version 0.4.12 haben wir sichergestellt, dass unsere Systeme vor diesen Angriffen geschützt sind. Unternehmen sollten dringend ihre Umgebung analysieren und, falls sie betroffen sind, unverzüglich Updates und Sicherheitsmaßnahmen durchführen.
Die Sicherheit von Kubernetes ist ein kontinuierlicher Prozess – mit regelmäßigen Updates und einer durchdachten Sicherheitsstrategie können Unternehmen ihre Systeme jedoch wirksam schützen.
Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.
Kubernetes vs. Docker – Warum du beides brauchst und nicht gegeneinander ausspielst Die Frage, ob man Kubernetes oder Docker verwenden sollte, ist vollkommen falsch gestellt. Die beiden Technologien …
Die unsichere Zukunft des EU-US-Datentransfers Die regulatorische Unsicherheit rund um den Datenaustausch zwischen der EU und den USA nimmt erneut zu. Nachdem US-Präsident Donald Trump drei Mitglieder …
Kubernetes v1.32: Optimierung Ihrer Container-Infrastruktur mit ayedo In der dynamischen Welt der Container-Orchestrierung spielt Kubernetes eine zentrale Rolle. Bei ayedo, den Experten für Docker und …
NIS2-Richtlinie: Warum jetzt der perfekte Zeitpunkt für mehr Sicherheit ist – Ayedo zeigt den Weg Die Einführung der NIS2-Richtlinie hat einige Wellen in der Welt der Container-Technologien …
Maximale Datensouveränität mit unserer internen RAG-Lösung und der ayedo Cloud Einleitung In der heutigen digitalen Ära ist der effiziente Umgang mit großen Datenmengen entscheidend für den …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →