IngressNightmare: Four Critical Bugs Found in 40% of Cloud Systems
2025/03/25 InfoSecurity — 人気の Ingress NGINX Controller を使用する Kubernetes ユーザーは、新たに発見された4つのリモート・コード実行 (RCE) の脆弱性 (CVSS:9.8) に対するパッチ適用を求められている。
Wiz Security が “IngressNightmare” と名付けた4つの脆弱性は、関連する Kubernetes サービスとポッドへ向けて、外部トラフィックをルーティングするように設計された、人気の OSS のアドミッション・コントローラー・コンポーネントに影響を及ぼすものだ。
Wiz Research は、「数多くの Fortune 500 企業などのクラウド環境の43%に、この脆弱性は影響を与える。通常において、ソフトウェアのアドミッション・コントローラーは、パブリック・インターネットに公開されているため、それらの組織は深刻なリスクにさらされている」と警告している。
4つの脆弱性とは、CVE-2025-1097/CVE-2025-1098/CVE-2025-24514/CVE-2025-1974 である。最初の3つの脆弱性を悪用する攻撃者は、任意の NGINX コンフィグレーション・ディレクティブを挿入する可能性を手にする。4つ目の脆弱性の連鎖により、リモート・コード実行にいたる恐れもある。
Wiz Security のアドバイザリには、「Ingress-NGINX アドミッション・コントローラーは、着信 Ingress オブジェクトを処理するときに、そのオブジェクトから NGINX コンフィグを構築し、それを NGINX バイナリを用いて検証する。当社のチームは、このフェーズで脆弱性を発見した。この脆弱性により、ネットワーク経由でアドミッション・コントローラーへ向けて、悪意の Ingress オブジェクトをダイレクトに送信することで、任意の NGINX コンフィグをリモートで挿入できる。このコンフィグ検証フェーズでは、挿入された NGINX コンフィグにより NGINX バリデーターがコードを実行するため、Ingress NGINX コントローラーのポッドでリモート・コード実行 (RCE) が可能になる」と記されている。
同社は、「アドミッション・コントローラーは権限を昇格し、ネットワークに無制限にアクセスできるため、それらの欠陥を連鎖させて悪用する攻撃者は、任意のコード実行を達成し、すべてのクラスター・シークレットにアクセスし、標的のクラスターを完全に乗っ取れる」と付け加えている。
Kubernetes 管理者は、Ingress NGINX Controller のバージョンを 1.12.1/1.11.5 へとアップグレードし、アドミッション・ウェブフック・エンドポイントが外部に公開されないようにして、システムのセキュリティを確保する必要がある。
Wiz は、速やかなパッチ適用が不可能な組織のために、いくつかの緩和策も公開している。
これは始まりにすぎないのか?
残念なことに、今回のような Kubernetes アドミッション・コントローラーにおける問題が、今後も続いて発見される可能性がある。
Wiz Security は、「最初に驚いた点は、このような大規模なコード・ベースが舞台裏で使用されているという現実である。私たちの見解は、この攻撃対象領域は、クラスター内のポッドからアクセスを削除し、それを公開しないという方法で制限する必要があるというものだ。また、最小権限の設計の欠如とエクスプロイトにより、クラスターを制御する権限が付与されるという点にも驚いた。この調査中に、Ingress NGINX Controller の他の脆弱性が発見された。他のアドミッション・コントローラーでも、さらに多くの脆弱性が見つかると予想している」と結論付けている。
“IngressNightmare” という名称が示す通り、これらの脆弱性は深刻であり、他の Kubernetes アドミッション・コントローラーにも類似の問題が存在する可能性があります。ご利用のチームは、十分にご注意下さい。よろしければ、Kubernetes で検索も、ご利用下さい。
IoT OT Security News 
You must be logged in to post a comment.