ISGroup Conseil en Cybersécurité

CVE-2025-1974 : Ingress-Nginx Controller – Exécution de Code à Distance

Ingress-Nginx est un contrôleur Ingress pour Kubernetes très répandu, utilisé pour gérer l’accès externe aux services au sein d’un cluster. Une vulnérabilité de sécurité critique a été identifiée dans certaines versions d’Ingress-Nginx, permettant l’exécution de code à distance (RCE) via des annotations malveillantes. Cette vulnérabilité est activement exploitée et représente un risque significatif pour les environnements Kubernetes.

Date27/03/2025 14:22:23
Informations
  • Tendance
  • Correctif disponible

Résumé technique

La vulnérabilité est associée à l’annotation auth-tls-match-cn d’Ingress, qui permet à un attaquant d’injecter des directives de configuration Nginx arbitraires. Cette mauvaise configuration peut être exploitée pour charger des modules malveillants ou exécuter des commandes arbitraires dans le contexte du contrôleur Ingress-Nginx.

En envoyant une requête spécialement conçue, un attaquant peut modifier la configuration de Nginx en utilisant une annotation telle que :

nginx.ingress.kubernetes.io/auth-url: "http://example.com#;load_module test;\n"

Cet exploit permet l’exécution non autorisée de code, conduisant à la compromission complète du contrôleur Ingress-Nginx. De plus, les attaquants peuvent potentiellement accéder à tous les secrets Kubernetes présents dans le cluster, permettant une élévation de privilèges et une prise de contrôle totale du cluster.

Recommandations

Pour atténuer cette vulnérabilité, les administrateurs doivent agir immédiatement :

  1. Mettre à jour Ingress-Nginx : Passez à l’une des versions corrigées suivantes :

    • Version 1.12.1 ou ultérieure
    • Version 1.11.5 ou ultérieure

  2. Restreindre les annotations : Mettez en œuvre des politiques pour empêcher l’application d’annotations non autorisées aux ressources Ingress.

  3. Limiter les permissions du contrôleur : Assurez-vous que le contrôleur Ingress-Nginx n’a pas d’accès inutile aux ressources sensibles de Kubernetes.

  4. Surveiller les tentatives d’exploitation : Analysez les journaux à la recherche de modifications suspectes sur les Ingress ou de changements non autorisés dans la configuration de Nginx.

  5. Appliquer des mesures de sécurité réseau : Limitez l’accès externe au contrôleur Ingress et appliquez des règles de pare-feu strictes.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *