â ïž Alerte sĂ©curitĂ© sur Kubernetes : #IngressNightmare
Le 24 mars 2025, lâĂ©quipe de recherche de Wiz et les mainteneurs de Kubernetes ont dĂ©voilĂ© 5 vulnĂ©rabilitĂ©s majeures affectant le trĂšs populaire Ingress-NGINX Controller (prĂ©sent sur +40% des clusters).
Ces failles, dont la plus grave est CVE-2025-1974 (CVSS 9.8), permettent Ă un attaquant sans identifiants dâexĂ©cuter du code Ă distance (Remote Code Execution) et de prendre le contrĂŽle complet du cluster Kubernetes, en accĂ©dant Ă tous les secrets (mots de passe, clĂ©s dâAPI, etc.).
Ce qui est en cause :
Le composant vulnĂ©rable est le Validating Admission Controller dâIngress-NGINX. Il valide les objets "Ingress" mais est, par dĂ©faut, accessible sans authentification depuis le rĂ©seau interne du cluster â parfois mĂȘme exposĂ© publiquement.
Les chercheurs ont rĂ©ussi Ă injecter des configurations NGINX malveillantes, puis Ă exĂ©cuter du code en important des bibliothĂšques Ă partir de fichiers temporaires via NGINX. Une vĂ©ritable porte dâentrĂ©e invisible.
â
Ce que vous devez faire rapidement:
VĂ©rifiez si vous utilisez ingress-nginx :
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
Mettez à jour vers une version corrigée :
v1.12.1 ou v1.11.5
Si vous ne pouvez pas mettre Ă jour tout de suite :
DĂ©sactivez temporairement le webhook dâadmission (voir instructions officielles).
[Sources officielles]
âŹïž
Blog de recherche Wiz :
"IngressNightmare: 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX"
đ
https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities
đą Annonce de Kubernetes (Security Response Committee) :
"Ingress-nginx CVE-2025-1974: What You Need to Know"
đ
https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/
#CyberVeille #Kubernetes #DevSecOps #CVE_2025_1974 #RCE
SeanBurlington đ đïž
decio
