-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 CAIS-Alerta [26-03-2025] Vulnerabilidade crítica no Ingress NGINX Controller Prezados(as), O CAIS alerta a comunidade de segurança cibernética sobre um conjunto de vulnerabilidades críticas no Ingress NGINX Controller para Kubernetes, chamadas "IngressNightmare", que permitem execução remota de código (RCE) não autenticada. Foram relacionados quatro CVEs, sendo o mais crítico com pontuação base CVSS v3.1 de 9,8. 1) Produtos e versões afetadas; 2) Identificadores CVE (http://cve.mitre.org); 3) Descrição das vulnerabilidades; 4) Mitigação e correções disponíveis; e 5) Mais informações. 1) Produtos e versões afetadas: Ingress NGINX Controller para Kubernetes Versões 1.12.0 e anteriores; Versões 1.11.4 e anteriores; e Versões 1.10.6 e anteriores. 2) Identificadores CVE (http://cve.mitre.org): CVE-2025-1097; CVE-2025-1098; CVE-2025-2451; e CVE-2025-1974. 3) Descrição das vulnerabilidades: As vulnerabilidades CVE-2025-1097, CVE-2025-1098, CVE-2025-2451 e CVE-2025-1974 afetam o Ingress NGINX Controller para Kubernetes, permitindo a execução remota de código (RCE) e o comprometimento de dados do cluster. Essas vulnerabilidades podem ser exploradas por meio da injeção de configurações maliciosas nas anotações de autenticação e espelhamento, além do controlador de admissão. Agentes maliciosos não autenticados podem executar código arbitrário, expondo dados críticos e resultando no comprometimento de todo o cluster. CVE-2025-1097: Permite que a anotação auth-tls-match-cn seja usada para injetar configurações no NGINX, resultando em execução arbitrária de código no contexto do controlador ingress-nginx e divulgação de segredos acessíveis ao controlador. ​ CVE-2025-1098: A anotação mirror-target ou mirror-host pode ser explorada para injetar configurações no NGINX, permitindo execução de código arbitrário e acesso a dados do controlador ingress-nginx. ​ CVE-2025-2451: A anotação auth-url pode ser utilizada para injetar configurações no NGINX, resultando em execução de código não autorizada e exposição de segredos acessíveis ao controlador. ​ CVE-2025-1974: Agentes maliciosos não autenticados com acesso à rede de pods podem explorar o controlador de admissão do ingress-nginx para executar código arbitrário, levando ao comprometimento dos dados do cluster e permitindo controle total do cluster. ​ 4) Mitigação e correções disponíveis: Recomenda-se atualizar para as versões corrigidas do Ingress NGINX Controller (1.12.1, 1.11.5 ou 1.10.7) e restringir o acesso ao controlador de admissão para mitigar os riscos associados. 5) Mais informações: https://nvd.nist.gov/vuln/detail/CVE-2025-1097 https://nvd.nist.gov/vuln/detail/CVE-2025-1098 https://nvd.nist.gov/vuln/detail/CVE-2025-24514 https://nvd.nist.gov/vuln/detail/CVE-2025-1974 https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes. Os alertas do CAIS também podem ser acompanhados pelas redes sociais da RNP. Siga-nos!! Twitter: @caisRNP Facebook: facebook.com/RedeNacionaldeEnsinoePesquisaRNP. ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # https://www.rnp.br/cais/#SistemadeAlerta # # cais@cais.rnp.br Tel. 019 3787-3300 # # Chave PGP disponível: # # https://plataforma.rnp.br/cais/cais-pgp.key # ################################################################ -----BEGIN PGP SIGNATURE----- iQIzBAEBCAAdFiEEmWJsLogaTfQskA851Per/VOaV4AFAmfkPeYACgkQ1Per/VOa V4BnfA/8CrxT/rHUX2Urr8kVVTRAvqPTO3B5TGfjC993X0d4mmY7TwlwSsRkXvU4 flxq13j1PKPOcFb0u2z4VNXueWGQIn4nW3Yc1FXRO/EZjMHoQsvW5WhcoydI31ny 86lb3LTsOnwFIvyC6SyywzHA2BqAT15+Ngzvn1Lea9GekTWMuTx+lduvNx/Kt7pb HZEQNb+6tNDI5cHfaAtWTRTr5cgJ8PYzpri0DKciDG3EJnXzZz9SVyNqUPijGth4 FQmirzuQXQZqePgPBAQX3yGNVET1EutNPmAC+neG8/fBAgPNbQgSwRX8/MFFZ1pr ik6qP1D5dC76lLHxI+VQf8Cy8t3lNt7CMhaMXwiJY3wzFMdOSxWMlvz1XxyTnGrO U3pMPcEA8XANfv1Ers6rOQLH9sKxmweBuu8NVWWtvVRw2D1SjECxN+jaGhrI3/ry 0X50mznFvoFvDsBHVT+3HRBrGCYzdI9P1oqtyUohlSuKF3NG4vSdK/vzNW+CCl/n 6yWw3yQHwDbIaP4lwBgrqzkzNqxFHFoACJpfc+sJK+0HjkIeYWsuTfvVGQEqpP5F U1/PO7d3vuOMHY/XcpuCMNCEjcj0+h+2kfNfNEXh/0I9JSGfSuTop4QVqWRHEIFp b521Xg1CG9toqTuZ0TId/7GwFRNb7YhOyuX1iUJweY+R3zo9kPA= =fGyi -----END PGP SIGNATURE-----