No dia 24 de março de 2025, foi divulgada uma vulnerabilidade crítica no controlador Ingress-NGINX do Kubernetes, identificada como CVE-2025-1974. Essa falha permite que um atacante não autenticado, com acesso à rede de pods, execute código arbitrário no contexto do controlador ingress-nginx, potencialmente levando à exposição de Secrets acessíveis pelo controlador. Ademais, vale ressaltar que, na configuração padrão, o controlador tem acesso a todos os Secrets do cluster.
Detalhes Técnicos
O Ingress-NGINX é um dos controladores de ingresso mais utilizados no ecossistema Kubernetes, funcionando como um proxy reverso e balanceador de carga que gerencia o acesso externo aos serviços dentro de um cluster, através do objeto ingress do kubernetes. A vulnerabilidade CVE-2025-1974 está relacionada ao componente de Admission Controller do ingress-nginx. Sob certas condições, um atacante pode explorar falhas de injeção de configuração através desse componente, resultando na execução remota de código (RCE).
Versões Afetadas
As versões afetadas pela CVE-2025-1974 incluem:
- Todas as versões anteriores à 1.11.0
- Versões 1.11.0 até 1.11.4
- Versão 1.12.0
As correções foram implementadas nas versões 1.11.5 e 1.12.1 do ingress-nginx, bem como em versões posteriores.
Como Verificar se Seu Cluster Utiliza o Ingress-NGINX
Execute o comando abaixo:
kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginxCaso tenha sido apresentado um resultado, seu cluster pode estar vulnerável.
Como Verificar a Versão do Ingress-NGINX
Execute o comando abaixo:
kubectl describe pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx | grep ImageComo Mitigar a Vulnerabilidade
Para mitigar essa vulnerabilidade, recomenda-se:
- Atualização Imediata: Atualize o ingress-nginx para a versão 1.11.5, 1.12.1 ou posterior.
- Verifique se a versão do ingress-nginx é suportada na versão do Kubernetes do seu cluster.
- Desabilitar o Admission Controller: Se a atualização imediata não for possível, desabilite temporariamente o recurso de Admission Controller do ingress-nginx:
- Se instalado via Helm: reinstale com o valor
controller.admissionWebhooks.enabled=false. - Se instalado manualmente: delete a configuração
ValidatingWebhookConfigurationchamada ingress-nginx-admission e edite o Deployment ou DaemonSet ingress-nginx-controller, removendo--validating-webhookda lista de argumentos do contêiner do controlador.
- Se instalado via Helm: reinstale com o valor
Lembre-se de reativar o Admission Controller após a atualização, pois ele fornece validações importantes para as configurações de Ingress.
Conclusão
A CVE-2025-1974 representa uma ameaça significativa para ambientes Kubernetes que utilizam o ingress-nginx. É crucial que os administradores de clusters tomem medidas imediatas para atualizar ou mitigar essa vulnerabilidade, garantindo assim, a segurança e integridade dos seus ambientes.
Aproveite para aprofundar seus conhecimentos em Kubernetes, confira nosso curso na Udemy: Kubernetes Descomplicado – Aprenda Praticando.
Artigos Relacionados
Sobre o Autor
Com uma graduação em Sistemas de Informação e mais de 15 anos de experiência em diversas áreas da tecnologia, incluindo desenvolvimento de sistemas, consultoria em middleware e arquitetura de sistemas, eu me dedico a ajudar empresas do setor público e privado a superar desafios complexos em ambientes de missão crítica. Minha experiência no campo me ensinou a importância da partilha de conhecimentos, o que me levou a me tornar um instrutor na Udemy. Minha abordagem ao ensino é prática e acessível, acreditando firmemente que o conhecimento é mais útil quando aplicado. Minha paixão pela tecnologia e pelo ensino se traduz em cursos que são tanto informativos quanto envolventes, projetados para ajudar você a alcançar seus objetivos de aprendizagem e carreira. Juntos, vamos dominar novas habilidades e superar obstáculos. Estou ansioso para embarcar nesta jornada de aprendizado com você.
0 Comentários