IngressNightmare: Kritische RCE-Sicherheitslücken in Ingress NGINX bedrohen Kubernetes-Cluster
Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.
In der Welt der Kubernetes-Orchestrierung spielt der Ingress NGINX Controller eine zentrale Rolle, da er als Gateway für den Datenverkehr zu den Applikationen innerhalb des Clusters dient. Jüngste Entdeckungen von Sicherheitsforschern zeigen jedoch, dass dieser essenzielle Bestandteil von Kubernetes erhebliche Sicherheitsrisiken birgt.
Forscher von Wiz Research haben eine Reihe von Remote Code Execution (RCE)-Schwachstellen aufgedeckt , die unter dem Namen IngressNightmare bekannt geworden sind. Die betroffenen CVEs (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974) erreichen einen CVSS-Score von 9.8, was sie zu kritischen Bedrohungen macht.
In diesem Artikel erklären wir die Auswirkungen der Schwachstellen, betroffene Systeme und die notwendigen Maßnahmen zur Absicherung von Kubernetes-Clustern.
Die Gefahr: Remote Code Execution (RCE) und komplette Cluster-Übernahme
Die entdeckten Schwachstellen ermöglichen es Angreifern, unauthentifizierten Code auf dem Ingress NGINX Controller auszuführen. Dadurch können sie Zugriff auf alle im Cluster gespeicherten Geheimnisse (Secrets) erhalten und unter Umständen die vollständige Kontrolle über das Cluster erlangen.
Da Ingress NGINX in den meisten Kubernetes-Umgebungen weit verbreitet ist, stellt diese Schwachstelle ein erhebliches Risiko dar.
Betroffene Systeme:
Etwa 43 % aller Cloud-Umgebungen sind verwundbar.
Mehr als 6.500 Kubernetes-Cluster weltweit sind betroffen.
Besonders gefährdet sind Cluster, die den Ingress NGINX Admission Controller öffentlich erreichbar machen.
Wie funktioniert der Angriff?
Die Sicherheitslücke betrifft insbesondere den Admission Controller von Ingress NGINX. Dieser ist standardmäßig netzwerkweit erreichbar und authentifiziert Anfragen nicht ausreichend.
Ein Angreifer kann folgende Schritte ausführen, um das System zu kompromittieren:
Manipulierte Ingress-Objekt-Anfrage: Eine speziell präparierte Anfrage wird an den Admission Controller gesendet.
Einschleusen von bösartiger Konfiguration: Der Controller validiert und akzeptiert die schädliche Konfiguration.
Code-Ausführung: Während der Validierung wird der bösartige Code auf dem Ingress NGINX Controller ausgeführt.
Ausweitung des Angriffs: Kombination mit SSRF-Angriffen (Server-Side Request Forgery) ermöglicht es, weitere interne Dienste anzugreifen.
Das Gefährliche an dieser Schwachstelle ist, dass Angreifer keine spezifischen Berechtigungen benötigen und bereits mit einem einzigen bösartigen Request eine Kompromittierung auslösen können.
Welche Maßnahmen sind notwendig?
Die gute Nachricht ist, dass es bereits Sicherheitspatches gibt. Unternehmen sollten unverzüglich handeln, um ihre Kubernetes-Cluster zu schützen.
1. Update auf die neueste Version
Die aktuelle, sichere Version des Ingress NGINX Controllers ist 1.12.1 oder 1.11.5. Alle vorherigen Versionen sind als unsicher einzustufen.
Wir haben daher heute alle Instanzen in unseren Managed Clustern auf die Version 0.4.12 des Helm Charts aktualisiert, um unsere Systeme abzusichern.
2. Admission Webhooks absichern
Falls der Admission Controller genutzt wird, sollte sichergestellt werden, dass er nicht öffentlich erreichbar ist. Dies kann durch folgende Maßnahmen erfolgen:
Netzwerk-Richtlinien anwenden, um den Zugriff auf den Admission Controller nur für den Kubernetes API-Server zu erlauben.
RBAC-Regeln überprüfen, um sicherzustellen, dass nur autorisierte Benutzer Zugriff haben.
3. Deaktivierung des Admission Controllers (falls kein Update möglich ist)
Falls ein sofortiges Update nicht durchgeführt werden kann, sollte der Admission Controller deaktiviert werden. Dies kann durch folgende Methoden erreicht werden:
Entfernen des Webhooks aus der Kubernetes-Validierungskonfiguration.
Deaktivierung des Admission Controllers in Helm, falls die Installation über Helm erfolgte.
4. Regelmäßige Sicherheitschecks durchführen
Um sich langfristig vor Schwachstellen zu schützen, empfehlen wir:
Security Scanning Tools wie Trivy oder kubebench zu verwenden.
Auditing aktivieren, um verdächtige Ingress-Objekt-Änderungen zu erkennen.
Zero-Trust-Prinzipien umzusetzen, um unautorisierte Zugriffe zu minimieren.
Fazit
Die IngressNightmare-Schwachstellen zeigen erneut, wie wichtig es ist, Kubernetes-Cluster regelmäßig zu patchen und Sicherheitskonfigurationen zu überprüfen. Da Ingress NGINX in fast jedem Kubernetes-Cluster eingesetzt wird, stellt diese Schwachstelle eine ernsthafte Gefahr dar.
Durch unser schnelles Handeln und das Update auf Version 0.4.12 haben wir sichergestellt, dass unsere Systeme vor diesen Angriffen geschützt sind. Unternehmen sollten dringend ihre Umgebung analysieren und, falls sie betroffen sind, unverzüglich Updates und Sicherheitsmaßnahmen durchführen.
Die Sicherheit von Kubernetes ist ein kontinuierlicher Prozess – mit regelmäßigen Updates und einer durchdachten Sicherheitsstrategie können Unternehmen ihre Systeme jedoch wirksam schützen.
Hosten Sie Ihre Apps bei ayedo
Profitieren Sie von skalierbarem App Hosting in Kubernetes, hochverfügbarem Ingress Loadbalancing und erstklassigem Support durch unser Plattform Team. Mit der ayedo Cloud können Sie sich wieder auf das konzentrieren, was Sie am besten können: Software entwickeln.
Wer Anwendungen produktiv betreibt, braucht keine schönen Dashboards, sondern harte Daten. Performance-Probleme entstehen nie dann, wenn Zeit für Debugging ist. Sie kommen genau dann, wenn Systeme …
Die Frage stellt sich immer wieder. Entwicklerteams liefern Features, optimieren Releases, bauen saubere Architekturen — und dann hängen sie trotzdem noch in der Infrastruktur. Kubernetes-Cluster …
Die meisten IIoT-Projekte scheitern nicht an den Maschinen. Die Sensorik läuft. Die Steuerungen liefern Daten. Die Netzwerke übertragen Pakete. Das Problem beginnt eine Ebene höher: Die Daten landen …
Softwareentwicklung endet nicht beim Code Wer heute Applikationen für Kunden entwickelt, steht schnell vor dem nächsten Thema: Wie wird die Software produktiv betrieben? Wo laufen Staging und …
Warum IT und OT zusammenwachsen müssen In modernen Industrieumgebungen entstehen an der Schnittstelle zwischen Produktion und Unternehmens-IT zunehmend komplexe Datenströme. Produktionsanlagen, …
Interessiert an weiteren Inhalten? Hier gehts zu allen Blogs →
Noch Fragen? Melden Sie sich!
Unsere DevOps-Experten antworten in der Regel innerhalb einer Stunde.
Zu Gen-Z für E-Mail? Einfach mal Discord versuchen. Unter +49 800 000 3706 können Sie unter Angabe Ihrer Kontaktdaten auch einen Rückruf vereinbaren. Bitte beachten Sie, dass es keine Möglichkeit gibt, uns telefonisch direkt zu erreichen. Bitte gar nicht erst versuchen. Sollten Sie dennoch Interesse an synchroner Verfügbarkeit via Telefon haben, empfehlen wir Ihnen unseren Priority Support.