Abo
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

NGINX Controller for Kubernetes: Kubernetes-Cluster kompromittierbar

Angreifer können an mehreren Sicherheitslücken in NGINX Controller for Kubernetes ansetzen und Schadcode ausführen. Updates sind verfügbar.

In Pocket speichern vorlesen Druckansicht 8 Kommentare lesen
Stilisiertes Bild: Computer unter Wolken mit Schutzschilden und Viren

(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)

Update
Lesezeit: 2 Min.
Security
Von
Inhaltsverzeichnis

Cloudumgebungen, die Ingress NGINX Controller for Kubernetes einsetzen, sind verwundbar. Sicherheitsforscher von Wiz warnen vor tausenden, öffentlich über das Internet erreichbaren Instanzen von großen Firmen. Attacken können bevorstehen. Bislang gibt es aber noch keine Berichte zu laufenden Angriffen.

In einem Beitrag listen die Sicherheitsforscher vier Sicherheitslücken auf (CVE-2025-1097 "hoch", CVE-2025-1098 "hoch" , CVE-2025-24514 "hoch", CVE-2025-1974 "kritisch"), an denen Angreifer ohne Authentifizierung für Schadcode-Angriffe ansetzen können.

Sind Attacken erfolgreich, können Angreifer den Forschern zufolge auf alle gespeicherten Geheimnisse in allen Namespaces eines Kubernetes-Cluster zugreifen und mit diesen Informationen komplette Cluster kompromittieren. Die Sicherheitsforscher haben die Verwundbarkeiten „IngressNightmare“ getauft. Sie geben an, 6500 öffentlich über das Internet erreichbare Cluster entdeckt zu haben, die zu diversen Fortune-500-Unternehmen gehören.

Das Sicherheitsproblem

Um eine Attacke einzuleiten, muss ein Angreifer Zugriff auf den Admission Controller eines verwundbaren Kubernetes-Clusters haben. Das ist aber in vielen Fällen keine große Hürde, da solche Komponenten in Netzwerken oft nicht ausreichend abgesichert sind und standardmäßig ohne Authentifizierung erreichbar sind, führen die Forscher aus. Der Admission Controller überprüft eingehende Ingress-Objekte, bevor sie bereitgestellt werden.

Ist der Zugriff gegeben, können Angreifer Instanzen über die Verarbeitung einer manipulierten Konfiguration dazu bringen, ein mit Schadcode präpariertes Modul zu laden. Weitere Details zu den Schwachstellen führen die Sicherheitsforscher in ihrem Beitrag aus. Dort erläutern sie auch, wie Admins herausfinden können, ob ihre Systeme bedroht sind oder sogar schon attackiert wurden.

Jetzt patchen!

Falls Admins nicht umgehend das Sicherheitsupdate NGINX Controller 1.11.5 oder 1.12.1 installieren können, listen die Forscher in ihrem Beitrag Übergangslösungen zum Absichern von Instanzen auf. Temporären Schutz bietet etwa die Deaktivierung der Admission-Controller-Komponente.

Update

Betroffenen Namespaces im Text spezifiziert.

(des)

Beliebte Bestenlisten

Spiele

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten