Krytyczne podatności w Ingress NGINX dla Kubernetes | Centrum e-Zdrowia

Ze względu na aktywne wykorzystywanie tych podatności przez cyberprzestępców zalecamy niezwłoczne podjęcie działań ograniczających ryzyko. Kluczowa jest natychmiastowa aktualizacja do bezpiecznych wersji Ingress NGINX. Warto także wdrożyć dodatkowe mechanizmy ochronne, takie jak ograniczenie dostępu do interfejsów administracyjnych, monitorowanie podejrzanej aktywności oraz weryfikacja konfiguracji klastra pod kątem potencjalnych wektorów ataku. 

Identyfikator podatności

CVE-2025-1974, CVE-2025-1098, CVE-2025-1097, CVE-2025-24513, CVE-2025-24514, 

Score: 9,8 (Critical)

Opis luki

W kontrolerze Ingress NGINX ujawniono zestaw pięciu krytycznych luk w zabezpieczeniach, które mogą skutkować nieuwierzytelnionym zdalnym wykonaniem kodu, narażając na bezpośrednie ryzyko poprzez nieautoryzowany dostęp i manipulację zasobami klastra.

Warto zauważyć, iż podatny jest Ingress NGINX Controller, a nie NGINX Ingress Controller.

Podatne systemy

Kontroler Ingress NGINX wersje: 

• 1.12.0
• 1.11.4 i starsze

Działania naprawcze

Jak najszybsza aktualizacja do najnowszej wersji: 1.11.5 lub 1.12.1 2.   

Środki zapobiegawcze

1. Wyłącz funkcję Validating Admission Controller:
   - w przypadku, gdy do instalacji Ingress-Nginx użyto Helm, należy przeinstalować ją, używając opcji controller.admissionWebhooks.enabled=false.
   - w przypadku, gdy Ingress-Nginx zainstalowano ręcznie, należy usunąć konfigurację ValidatingWebhookConfiguration oraz usunąć parametr --validating-webhook z polecenia w konfiguracji Deployment lub DaemonSet ingress-nginx-controller.
2. Ogranicz dostęp sieciowy do usługi Validating Admission Controller wyłącznie do usługi API kube-apiserver na porcie TCP: 8443.

Źródło