[SECURITY-L] [RNP/CAIS Alerta #0175] Vulnerabilidade crítica no Ingress NGINX Controller

CSIRT Unicamp security em unicamp.br
Quarta Março 26 15:12:01 -03 2025 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

CAIS-Alerta [26-03-2025] Vulnerabilidade crítica no Ingress NGINX Controller

Prezados(as),

O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de
vulnerabilidades críticas no Ingress NGINX Controller para Kubernetes,
chamadas "IngressNightmare", que permitem execução remota de código (RCE)
não autenticada.

Foram relacionados quatro CVEs, sendo o mais crítico com pontuação base
CVSS v3.1 de 9,8.

1) Produtos e versões afetadas;
2) Identificadores CVE (http://cve.mitre.org);
3) Descrição das vulnerabilidades;
4) Mitigação e correções disponíveis; e
5) Mais informações.

1) Produtos e versões afetadas:

Ingress NGINX Controller para Kubernetes

Versões 1.12.0 e anteriores;
Versões 1.11.4 e anteriores; e
Versões 1.10.6 e anteriores.

2) Identificadores CVE (http://cve.mitre.org):

CVE-2025-1097;
CVE-2025-1098;
CVE-2025-2451; e
CVE-2025-1974.

3) Descrição das vulnerabilidades:

As vulnerabilidades CVE-2025-1097, CVE-2025-1098, CVE-2025-2451 e
CVE-2025-1974 afetam o Ingress NGINX Controller para Kubernetes, permitindo
a execução remota de código (RCE) e o comprometimento de dados do cluster.
Essas vulnerabilidades podem ser exploradas por meio da injeção de
configurações maliciosas nas anotações de autenticação e espelhamento, além
do controlador de admissão. Agentes maliciosos não autenticados podem
executar código arbitrário, expondo dados críticos e resultando no
comprometimento de todo o cluster.

CVE-2025-1097: Permite que a anotação auth-tls-match-cn seja usada para
injetar configurações no NGINX, resultando em execução arbitrária de código
no contexto do controlador ingress-nginx e divulgação de segredos
acessíveis ao controlador.

CVE-2025-1098: A anotação mirror-target ou mirror-host pode ser explorada
para injetar configurações no NGINX, permitindo execução de código
arbitrário e acesso a dados do controlador ingress-nginx.

CVE-2025-2451: A anotação auth-url pode ser utilizada para injetar
configurações no NGINX, resultando em execução de código não autorizada e
exposição de segredos acessíveis ao controlador.

CVE-2025-1974: Agentes maliciosos não autenticados com acesso à rede de
pods podem explorar o controlador de admissão do ingress-nginx para
executar código arbitrário, levando ao comprometimento dos dados do cluster
e permitindo controle total do cluster.

4) Mitigação e correções disponíveis:

Recomenda-se atualizar para as versões corrigidas do Ingress NGINX
Controller (1.12.1, 1.11.5 ou 1.10.7) e restringir o acesso ao controlador
de admissão para mitigar os riscos associados.

5) Mais informações:
https://nvd.nist.gov/vuln/detail/CVE-2025-1097
https://nvd.nist.gov/vuln/detail/CVE-2025-1098
https://nvd.nist.gov/vuln/detail/CVE-2025-24514
https://nvd.nist.gov/vuln/detail/CVE-2025-1974
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities


O CAIS recomenda que os administradores mantenham seus sistemas e
aplicativos sempre atualizados, de acordo com as últimas versões e
correções oferecidas pelos fabricantes.

Os alertas do CAIS também podem ser acompanhados pelas redes sociais da
RNP. Siga-nos!!
Twitter: @caisRNP
Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP.

################################################################
#   CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS)     #
#       Rede Nacional de Ensino e Pesquisa (RNP)               #
#                                                              #
# https://www.rnp.br/cais/#SistemadeAlerta                     #
# cais em cais.rnp.br          Tel. 019 3787-3300                 #
# Chave PGP disponível:                                        #
# https://plataforma.rnp.br/cais/cais-pgp.key                  #
################################################################

-----BEGIN PGP SIGNATURE-----
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=fGyi
-----END PGP SIGNATURE-----
_______________________________________________
RNP-Alerta
rnp-alerta em listas.rnp.br
https://listas.rnp.br/mailman/listinfo/rnp-alerta



Computer Security Incident Response Team - CSIRT
Diretoria Executiva de Tecnologia da Informação e Comunicação - DETIC
Universidade Estadual de Campinas - Unicamp
GnuPG Public Key: http://www.security.unicamp.br/security.asc [^]
Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: <http://www.listas.unicamp.br/pipermail/security-l/attachments/20250326/aae1f520/attachment-0001.html>

Mais detalhes sobre a lista de discussão SECURITY-L