IngressNightmare: nuevo ataque a Ingress-Nginx conduce a la ruptura total de Kubernetes

Los especialistas de Wiz identificaron vulnerabilidades en el componente admission controller del popular controlador de tráfico entrante Ingress-Nginx para Kubernetes. Los errores permiten que un atacante ejecute código arbitrario de forma remota y obtenga control total sobre el clúster. Según los especialistas, se han detectado más de 6,500 implementaciones vulnerables en internet, incluidas aquellas pertenecientes a empresas de la lista Fortune 500.

Los controladores Ingress en Kubernetes actúan como el enlace entre el mundo exterior y las aplicaciones dentro del clúster. Procesan los objetos Ingress: reglas que describen qué tráfico HTTP/S externo debe ser dirigido a qué servicios. Ingress-Nginx es uno de los controladores más utilizados, basado en el servidor web Nginx. Transforma automáticamente las descripciones en los objetos Ingress en archivos de configuración de Nginx y redirige el tráfico a los servicios correspondientes.

La vulnerabilidad está relacionada con cómo Ingress-Nginx maneja dichas configuraciones. El encargado de verificar los parámetros de configuración es el admission controller. Al recibir un objeto Ingress, genera la configuración de Nginx y la pasa a un validador binario para su revisión. Aquí fue donde se encontró el error: es posible inyectar una configuración maliciosa que active la ejecución de código arbitrario directamente dentro del pod donde se ejecuta el controlador.

Un peligro adicional es que el admission controller, por defecto, tiene privilegios amplios y acceso a todos los espacios de nombres (namespace) dentro del clúster. Un ataque exitoso no solo permite al hacker ejecutar su propio código, sino también acceder a todos los secretos, incluidos los datos confidenciales de las aplicaciones y los componentes del sistema.

La vulnerabilidad más peligrosa es CVE-2025-1974 (puntuación CVSS: 9.8). Este defecto permite ejecutar código remotamente en el controlador a través de un objeto Ingress específicamente diseñado. Las otras vulnerabilidades, CVE-2025-1097, CVE-2025-1098 y CVE-2025-24514, tienen una puntuación CVSS de 8.8 puntos. El problema "menos grave" es CVE-2025-24513 (puntuación CVSS: 4.8).

Las vulnerabilidades han sido agrupadas bajo el nombre IngressNightmare. Wiz informó a los desarrolladores sobre el hallazgo a finales de 2024. Las correcciones se lanzaron el 10 de marzo de 2025, pero los detalles aún no se han revelado. Las versiones corregidas de Ingress-Nginx, 1.12.1 y 1.11.5, ya están disponibles para su descarga.

Sin embargo, existe el riesgo de que no todos los administradores actualicen sus clústeres a tiempo. Kubernetes se utiliza a menudo para alojar aplicaciones críticas de negocio, y actualizar sus componentes puede ser una tarea complicada. En estos casos, Wiz recomienda deshabilitar temporalmente el componente admission controller o limitar su acceso de red, permitiéndolo solo desde el Kubernetes API Server.