Kritična ranjivost u Ingress NGINX Controlleru
Kubernetes je zakrpao skup od pet kritičnih ranjivosti za svoj " Ingress NGINX Controller for Kubernetes " – najozbiljnija, označena kao CVE-2025-1974, ima ocjenu 9,8 i dopušta bilo kome na Pod mreži da iskoristi ranjivosti ubacivanja konfiguracije putem featurea Validating Admission Controller u ingress-nginxu.
U kombinaciji s ostale četiri ranjivosti,
napadač ima dobre izglede za preuzimanje Kubernetes klastera bez ikakvih vjerodajnica ili administrativnog pristupa.
Budući da je ingress-nginx popularan ingress controller kojeg pruža sam Kubernetes, svestran i jednostavan za korištenje,
implementiran je u više od 40 posto Kubernetes klastera – to znači da postoji vjerojatnost da ga imate ako koristite Kubernetes.
Što sada?
Prvo duboko udahnite.
Zatim provjerite koriste li vaši klasteri ingress-nginx; to se obično može učiniti pokretanjem sljedeće naredbe (morate imati administratorska prava):
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxAko koristite bilo što osim verzija v1.12.1 i v1.11.5, vrijeme je da počnete krpati.
Najlakši način je nadogradnja na zadnji verziju ingress-nginxa.
Ako iz nekog razloga ne možete odmah zakrpati stare verzije, možete smanjiti rizik isključivanjem featurea Validating Admission Controller u ingress-nginxu (ne zaboravite ga ponovno uključiti nakon što pokrpate).
Ako ste instalirali ingress-nginx koristeći Helm, ponovno ga instalirajte, postavljajući Helm vrijednost na:
controller.admissionWebhooks.enabled=falseAko ste ručno instalirali ingress-nginx, izbrišite ValidatingWebhook konfiguraciju
ingress-nginx-admissiononda editirajte
ingress-nginx-controller Deployment ili Daemonset i maknite
--validating-webhook s popisa argumenata containera kontrolera.
Ovdje je vrijeme doista od presudne važnosti. Sretno svima.
