<div dir="ltr"><div>-----BEGIN PGP SIGNED MESSAGE-----</div><div class="gmail_quote gmail_quote_container">
Hash: SHA256<br>
<br>
CAIS-Alerta [26-03-2025] Vulnerabilidade crítica no Ingress NGINX Controller<br>
<br>
Prezados(as),<br>
<br>
O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de vulnerabilidades críticas no Ingress NGINX Controller para Kubernetes, chamadas "IngressNightmare", que permitem execução remota de código (RCE) não autenticada. <br>
<br>
Foram relacionados quatro CVEs, sendo o mais crítico com pontuação base CVSS v3.1 de 9,8.<br>
<br>
1) Produtos e versões afetadas;<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>);<br>
3) Descrição das vulnerabilidades;<br>
4) Mitigação e correções disponíveis; e<br>
5) Mais informações.<br>
<br>
1) Produtos e versões afetadas:<br>
<br>
Ingress NGINX Controller para Kubernetes<br>
<br>
Versões 1.12.0 e anteriores;<br>
Versões 1.11.4 e anteriores; e<br>
Versões 1.10.6 e anteriores.<br>
<br>
2) Identificadores CVE (<a href="http://cve.mitre.org" rel="noreferrer" target="_blank">http://cve.mitre.org</a>):<br>
<br>
CVE-2025-1097;<br>
CVE-2025-1098;<br>
CVE-2025-2451; e <br>
CVE-2025-1974.<br>
<br>
3) Descrição das vulnerabilidades:<br>
<br>
As vulnerabilidades CVE-2025-1097, CVE-2025-1098, CVE-2025-2451 e CVE-2025-1974 afetam o Ingress NGINX Controller para Kubernetes, permitindo a execução remota de código (RCE) e o comprometimento de dados do cluster. Essas vulnerabilidades podem ser exploradas por meio da injeção de configurações maliciosas nas anotações de autenticação e espelhamento, além do controlador de admissão. Agentes maliciosos não autenticados podem executar código arbitrário, expondo dados críticos e resultando no comprometimento de todo o cluster.<br>
<br>
CVE-2025-1097: Permite que a anotação auth-tls-match-cn seja usada para injetar configurações no NGINX, resultando em execução arbitrária de código no contexto do controlador ingress-nginx e divulgação de segredos acessíveis ao controlador. <br>
<br>
CVE-2025-1098: A anotação mirror-target ou mirror-host pode ser explorada para injetar configurações no NGINX, permitindo execução de código arbitrário e acesso a dados do controlador ingress-nginx. <br>
<br>
CVE-2025-2451: A anotação auth-url pode ser utilizada para injetar configurações no NGINX, resultando em execução de código não autorizada e exposição de segredos acessíveis ao controlador. <br>
<br>
CVE-2025-1974: Agentes maliciosos não autenticados com acesso à rede de pods podem explorar o controlador de admissão do ingress-nginx para executar código arbitrário, levando ao comprometimento dos dados do cluster e permitindo controle total do cluster. <br>
<br>
4) Mitigação e correções disponíveis:<br>
<br>
Recomenda-se atualizar para as versões corrigidas do Ingress NGINX Controller (1.12.1, 1.11.5 ou 1.10.7) e restringir o acesso ao controlador de admissão para mitigar os riscos associados.<br>
<br>
5) Mais informações:<br>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-1097" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2025-1097</a><br>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-1098" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2025-1098</a><br>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-24514" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2025-24514</a><br>
<a href="https://nvd.nist.gov/vuln/detail/CVE-2025-1974" rel="noreferrer" target="_blank">https://nvd.nist.gov/vuln/detail/CVE-2025-1974</a><br>
<a href="https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities" rel="noreferrer" target="_blank">https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities</a><br>
<br>
<br>
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.<br>
<br>
Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!!<br>
Twitter: @caisRNP<br>
Facebook: <a href="http://facebook.com/RedeNacionaldeEnsinoePesquisaRNP" rel="noreferrer" target="_blank">facebook.com/RedeNacionaldeEnsinoePesquisaRNP</a>.<br>
<br>
################################################################<br>
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #<br>
#       Rede Nacional de Ensino e Pesquisa (RNP)               #<br>
#                                                              #<br>
# <a href="https://www.rnp.br/cais/#SistemadeAlerta" rel="noreferrer" target="_blank">https://www.rnp.br/cais/#SistemadeAlerta</a>                     #<br>
# <a href="mailto:cais@cais.rnp.br" target="_blank">cais@cais.rnp.br</a>          Tel. 019 3787-3300                 #<br>
# Chave PGP disponível:                                        #<br>
# <a href="https://plataforma.rnp.br/cais/cais-pgp.key" rel="noreferrer" target="_blank">https://plataforma.rnp.br/cais/cais-pgp.key</a>                  #<br>
################################################################<br>
<br>
-----BEGIN PGP SIGNATURE-----<br>
<br>
iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmfkPeYACgkQ1Per/VOa<br>
V4BnfA/8CrxT/rHUX2Urr8kVVTRAvqPTO3B5TGfjC993X0d4mmY7TwlwSsRkXvU4<br>
flxq13j1PKPOcFb0u2z4VNXueWGQIn4nW3Yc1FXRO/EZjMHoQsvW5WhcoydI31ny<br>
86lb3LTsOnwFIvyC6SyywzHA2BqAT15+Ngzvn1Lea9GekTWMuTx+lduvNx/Kt7pb<br>
HZEQNb+6tNDI5cHfaAtWTRTr5cgJ8PYzpri0DKciDG3EJnXzZz9SVyNqUPijGth4<br>
FQmirzuQXQZqePgPBAQX3yGNVET1EutNPmAC+neG8/fBAgPNbQgSwRX8/MFFZ1pr<br>
ik6qP1D5dC76lLHxI+VQf8Cy8t3lNt7CMhaMXwiJY3wzFMdOSxWMlvz1XxyTnGrO<br>
U3pMPcEA8XANfv1Ers6rOQLH9sKxmweBuu8NVWWtvVRw2D1SjECxN+jaGhrI3/ry<br>
0X50mznFvoFvDsBHVT+3HRBrGCYzdI9P1oqtyUohlSuKF3NG4vSdK/vzNW+CCl/n<br>
6yWw3yQHwDbIaP4lwBgrqzkzNqxFHFoACJpfc+sJK+0HjkIeYWsuTfvVGQEqpP5F<br>
U1/PO7d3vuOMHY/XcpuCMNCEjcj0+h+2kfNfNEXh/0I9JSGfSuTop4QVqWRHEIFp<br>
b521Xg1CG9toqTuZ0TId/7GwFRNb7YhOyuX1iUJweY+R3zo9kPA=<br>
=fGyi<br>
-----END PGP SIGNATURE-----<br>
_______________________________________________<br>
RNP-Alerta<br>
<a href="mailto:rnp-alerta@listas.rnp.br" target="_blank">rnp-alerta@listas.rnp.br</a><br>
<a href="https://listas.rnp.br/mailman/listinfo/rnp-alerta" rel="noreferrer" target="_blank">https://listas.rnp.br/mailman/listinfo/rnp-alerta</a><br>
</div><div class="gmail_quote gmail_quote_container"><br></div><div class="gmail_quote gmail_quote_container"><br></div><div class="gmail_quote gmail_quote_container"><div><br class="gmail-Apple-interchange-newline">Computer Security Incident Response Team - CSIRT</div><div>Diretoria Executiva de Tecnologia da Informação e Comunicação - DETIC</div><div>Universidade Estadual de Campinas - Unicamp</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div><br class="gmail-Apple-interchange-newline"></div></div>