Le 24 mars 2025, Wiz Research a dévoilé une série de vulnérabilités critiques, surnommées IngressNightmare, affectant Ingress-NGINX Controller, l'une des solutions d'ingress les plus utilisées dans Kubernetes. Avec un score CVSS de 9,8 (critique), ces vulnérabilités (CVE-2025-1974, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098) permettent aux attaquants d'exécuter du code à distance (RCE) sans authentification, pouvant conduire à la compromission totale du cluster.
Ingress-NGINX est déployé dans plus de 40% des clusters Kubernetes dans le monde. Plus précisément, ces vulnérabilités exploitent le composant contrôleur d'admission, qui valide les objets ingress sans authentification appropriée, permettant aux attaquants sur le réseau d'injecter des configurations malveillantes. Ces exploits peuvent donner accès à tous les secrets présents dans les namespaces Kubernetes, créant ainsi un chemin direct vers la prise de contrôle complète du cluster.
Actions immédiates recommandées :
- Mettez à jour immédiatement Ingress-NGINX Controller vers les versions 1.12.1 ou 1.11.5.
- Désactivez temporairement les contrôleurs d'admission si une mise à jour immédiate n'est pas possible:
- Pour les installations avec Helm : Définissez controller.admissionWebhooks.enabled=false.
- Pour les installations manuelles : Supprimez la ValidatingWebhookConfiguration nommée ingress-nginx-admission et retirez l'argument --validating-webhook du déploiement ingress-nginx.
- Appliquez des politiques réseau strictes limitant l'accès du webhook d'admission uniquement au serveur API Kubernetes.
Vérification de l'exposition à la vulnérabilité : Exécutez cette commande :
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Nous vous encourageons fortement à agir immédiatement pour protéger vos clusters Kubernetes de toute exploitation.
Restez en sécurité,
Alerte Critique de Sécurité Nginx Ingress Controller