El equipo de Wiz Research descubrió una serie de vulnerabilidades críticas en el Ingress NGINX Controller para Kubernetes, denominadas #IngressNightmare (CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 y CVE-2025-1974). Estas fallas permiten a un atacante ejecutar código de forma remota (RCE) sin autenticación, acceder a secretos almacenados en todos los namespaces del clúster y potencialmente tomar el control completo del entorno Kubernetes.
Con una puntuación CVSS de 9.8, estas vulnerabilidades afectan al controlador de admisión de Ingress NGINX, exponiendo miles de clústeres en la nube, incluyendo empresas Fortune 500.
¿Qué es Ingress NGINX Controller?
Ingress NGINX es uno de los controladores de entrada más populares para Kubernetes, utilizado para gestionar el tráfico externo hacia aplicaciones dentro del clúster. Funciona como un proxy inverso basado en NGINX y es recomendado oficialmente en la documentación de Kubernetes.
Las Vulnerabilidades
1. Inyección de Configuración Remota en NGINX
El controlador de admisión de Ingress NGINX valida las configuraciones de entrada antes de aplicarlas. Sin embargo, no autentica las solicitudes, lo que permite a un atacante enviar objetos maliciosos que inyectan configuraciones arbitrarias en NGINX.
2. Ejecución Remota de Código (RCE)
Al manipular anotaciones como auth-url y auth-tls-match-cn, un atacante puede inyectar directivas maliciosas que son procesadas por nginx -t, logrando ejecución remota de código en el pod del controlador.
3. Exposición en Internet
Nuestro análisis reveló que más de 6,500 clústeres tienen sus controladores de admisión expuestos públicamente, lo que facilita el ataque sin necesidad de acceso interno.
Impacto
- Acceso a todos los secretos del clúster (credenciales, tokens, certificados).
- Toma de control del clúster Kubernetes.
- Posibilidad de moverse lateralmente a otros servicios en la nube.
Mitigación y Detección
Actualización Urgente
Se recomienda actualizar a las versiones Ingress NGINX Controller 1.12.1 o 1.11.5.
Protección del Controlador de Admisión
- Restringir el acceso solo al API Server de Kubernetes.
- Deshabilitar temporalmente el controlador de admisión si no es posible actualizar.
Herramientas de Detección
- Nuclei Template para identificar controladores expuestos.
- Wiz Threat Center ofrece consultas predefinidas para detectar la vulnerabilidad.
Conclusión
IngressNightmare demuestra los riesgos de los controladores de admisión en Kubernetes cuando no están adecuadamente protegidos. La exposición de estos componentes, combinada con la falta de autenticación, permite ataques críticos con consecuencias devastadoras.
Recomendación clave:
- Parchear inmediatamente.
- Aplicar políticas de red estrictas.
- Monitorear tráfico sospechoso.
Para más detalles técnicos, consulta el blog oficial de Kubernetes y los avisos de Google Cloud y AWS.
