Die Sicherheitslandschaft im Bereich Kubernetes erlebt derzeit eine besorgniserregende Entwicklung. Cloudumgebungen, die den Ingress NGINX Controller implementieren, sind anf\u00e4llig f\u00fcr kritische Schwachstellen, die zur Kompromittierung ganzer Cluster f\u00fchren k\u00f6nnten. Ein Team von Sicherheitsforschern bei Wiz hat tausende \u00f6ffentlich zug\u00e4ngliche Instanzen des Ingress Controllers gro\u00dfer Unternehmen aufgedeckt, darunter prominente Vertreter aus der Fortune-500-Liste. Diese Entdeckung ersch\u00fcttert das Vertrauen in die Sicherheit von Kubernetes-basierten Systemen und warnt vor drohenden Angriffen, obwohl bis dato noch keine best\u00e4tigten F\u00e4lle von laufenden Attacken bekannt sind.<\/p>\n
Die Schwachstellen, die als IngressNightmare bezeichnet werden, haben die Sicherheitscommunity alarmiert, da sie Angreifern unauthentifizierte Zugriffswege er\u00f6ffnen, um Schadcode einzuschleusen und kritische Daten zu entwenden. Herzst\u00fcck der Angriffsstrategie sind vier identifizierte Schwachstellen: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 und CVE-2025-1974. Alle vier Schwachstellen sind als hoch oder kritisch eingestuft und erm\u00f6glichen Angreifern die Manipulation von Ingress-Objekten, die den zentralen Zugangspunkt f\u00fcr externe Kommunikation innerhalb eines Kubernetes-Clusters bilden. <\/p>\n
Durch gezielte Manipulationen k\u00f6nnen Eindringlinge Schadcode in Form von modifizierten Modulen einf\u00fcgen und diese \u00fcber den Admission Controller, der normalerweise die Kontrolle \u00fcber eingehende Ingress-Requests hat, in den Cluster laden. Die Schwachstelle liegt im unzureichenden Schutz des Admission Controllers, der oft ohne Authentifizierung zug\u00e4nglich ist, was Angreifern die T\u00fcr f\u00fcr diesen Exploit \u00f6ffnet. Ein erfolgreicher Angriff w\u00fcrde den Zugriff auf vertrauliche Informationen wie API-Keys, Datenbankverbindungen oder sensible Datenpakete erm\u00f6glichen und den gesamten Cluster gef\u00e4hrden.<\/p>\n
Wiz liefert detaillierte Informationen zur Funktionsweise dieser Schwachstellen und gibt Anleitungen, um zu \u00fcberpr\u00fcfen, ob Systeme bereits betroffen sind oder sogar schon angegriffen wurden. Besonders wichtig ist die sofortige Installation der Sicherheitsupdates f\u00fcr den NGINX Controller in den Versionen 1.11.5 oder 1.12.1, um die L\u00fccken zu schlie\u00dfen. Falls ein unmittelbares Update nicht m\u00f6glich ist, bietet Wiz \u00dcbergangsl\u00f6sungen wie die Deaktivierung des Admission Controllers an, um den Angriffspunkt tempor\u00e4r zu beseitigen und das Risiko zu minimieren. <\/p>\n
Diese Entdeckungen unterstreichen die Notwendigkeit kontinuierlicher Sicherheits\u00fcberwachung und Updates in Kubernetes-Umgebungen, um vor solchen Bedrohungen gewappnet zu sein und die Integrit\u00e4t sensibler Daten zu gew\u00e4hrleisten. Es ist ein Appell an die gesamte Community, schnellstm\u00f6glich Ma\u00dfnahmen zu ergreifen, um die IngressNightmare zu bek\u00e4mpfen und die Sicherheit von Kubernetes-Systemen wiederherzustellen.<\/p>\n
Schlagw\u00f6rter: Ingress Controllers + Wiz + NGINX<\/p>\n","protected":false},"excerpt":{"rendered":"
Die Sicherheitslandschaft im Bereich Kubernetes erlebt derzeit eine besorgniserregende Entwicklung. Cloudumgebungen, die den Ingress NGINX Controller implementieren, sind anf\u00e4llig f\u00fcr kritische Schwachstellen, die zur Kompromittierung ganzer Cluster f\u00fchren k\u00f6nnten. Ein Team von Sicherheitsforschern bei Wiz hat tausende \u00f6ffentlich zug\u00e4ngliche Instanzen des Ingress Controllers gro\u00dfer Unternehmen aufgedeckt, darunter prominente Vertreter aus...<\/p>\n","protected":false},"author":4,"featured_media":11866,"comment_status":"","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-11867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=11867"}],"version-history":[{"count":0,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/11867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/11866"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=11867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=11867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=11867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}