5 lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong Ingress NGINX Controller cho Kubernetes, có thể dẫn đến thực thi mã từ xa (RCE) mà không cần xác thực. Những lỗ hổng này, được theo dõi với các mã CVE-2025-24513, CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 và CVE-2025-1974, có điểm CVSS lên đến 9.8. Theo đánh giá của công ty bảo mật đám mây Wiz, hơn 6.500 cụm Kubernetes đang đối mặt với nguy cơ tấn công ngay lập tức nếu thành phần này bị lộ ra Internet công khai.
Nhóm lỗ hổng này được đặt tên là IngressNightmare và ảnh hưởng đến admission controller trong Ingress NGINX Controller. Admission controller là một thành phần quan trọng trong Kubernetes, chịu trách nhiệm kiểm tra và xử lý các yêu cầu cấu hình trước khi chúng được áp dụng cho cluster. Tuy nhiên, điểm yếu của nó là có thể bị truy cập từ xa mà không yêu cầu xác thực, tạo điều kiện cho kẻ tấn công chèn mã độc. Khoảng 43% hệ thống đám mây được cho là có nguy cơ bị ảnh hưởng bởi các lỗ hổng này.
Khi khai thác thành công, kẻ tấn công có thể truy cập toàn bộ Kubernetes secrets trên tất cả namespaces, từ đó có khả năng chiếm quyền kiểm soát hoàn toàn cluster. Cách thức tấn công chủ yếu dựa vào việc gửi một ingress object độc hại (còn gọi là AdmissionReview request) đến admission controller. Yêu cầu này sẽ kích hoạt việc chèn một cấu hình NGINX tùy ý, cho phép hacker thực thi mã từ xa trên pod của Ingress NGINX Controller.
Cụ thể, hacker có thể tải lên payload độc hại dưới dạng thư viện chia sẻ (shared library) bằng cách lợi dụng tính năng client-body buffer của NGINX. Sau đó, bằng cách gửi một AdmissionReview request chứa chỉ thị cấu hình độc hại, hacker có thể kích hoạt việc nạp thư viện này, dẫn đến thực thi mã từ xa. Ngoài ra, hacker cũng có thể lạm dụng Service Account có quyền cao để đọc dữ liệu nhạy cảm trong Kubernetes secrets và cuối cùng là chiếm toàn bộ quyền kiểm soát cluster.
Các lỗ hổng này đã được khắc phục trong các phiên bản Ingress NGINX Controller 1.12.1, 1.11.5 và 1.10.7. Người dùng được khuyến nghị cập nhật lên phiên bản mới nhất ngay lập tức để tránh bị khai thác. Ngoài ra, cần đảm bảo rằng endpoint của admission webhook không bị lộ ra bên ngoài, giới hạn quyền truy cập chỉ cho Kubernetes API Server và tạm thời vô hiệu hóa admission controller nếu không cần thiết để giảm thiểu rủi ro bảo mật.
