ISGroup Consultoría de Ciberseguridad

CVE-2025-1974: Ingress-Nginx Controller – Ejecución Remota de Código

Ingress-Nginx es un controlador Ingress para Kubernetes muy popular, utilizado para gestionar el acceso externo a los servicios dentro de un clúster. Se ha identificado una vulnerabilidad de seguridad crítica en algunas versiones de Ingress-Nginx que permite la ejecución remota de código (RCE) a través de anotaciones maliciosas. Esta vulnerabilidad está siendo explotada activamente y representa un riesgo significativo para los entornos de Kubernetes.

Fecha2025-03-27 14:22:23
Información
  • Tendencia
  • Corrección disponible

Resumen técnico

La vulnerabilidad está asociada con la anotación auth-tls-match-cn de Ingress, la cual permite a un atacante inyectar directivas de configuración de Nginx arbitrarias. Esta configuración errónea puede ser explotada para cargar módulos maliciosos o ejecutar comandos arbitrarios en el contexto del controlador Ingress-Nginx.

Al enviar una solicitud especialmente diseñada, un atacante puede modificar la configuración de Nginx utilizando una anotación como:

nginx.ingress.kubernetes.io/auth-url: "http://example.com#;load_module test;\n"

Este exploit permite la ejecución no autorizada de código, lo que conduce a la vulneración completa del controlador Ingress-Nginx. Además, los atacantes pueden acceder potencialmente a todos los secretos de Kubernetes presentes en el clúster, permitiendo una escalada de privilegios y la toma de control total del mismo.

Recomendaciones

Para mitigar esta vulnerabilidad, los administradores deben actuar de inmediato:

  1. Actualizar Ingress-Nginx: Actualizar a una de las siguientes versiones corregidas:

    • Versión 1.12.1 o superior
    • Versión 1.11.5 o superior

  2. Limitar las anotaciones: Implementar políticas para impedir la aplicación de anotaciones no autorizadas a los recursos Ingress.

  3. Limitar los permisos del controlador: Asegurarse de que el controlador Ingress-Nginx no tenga acceso innecesario a recursos sensibles de Kubernetes.

  4. Monitorear intentos de explotación: Analizar los registros (logs) en busca de modificaciones sospechosas en los Ingress o cambios no autorizados en la configuración de Nginx.

  5. Aplicar medidas de seguridad de red: Limitar el acceso externo al controlador Ingress y aplicar reglas de firewall estrictas.

[Callforaction-THREAT-Footer]

In