Vulnerabilidades críticas em Kubernetes abrem caminho à exposição de clusters

Investigadores da Wiz identificaram vulnerabilidades graves em Kubernetes, sistema utilizado por empresas para gerir aplicações em containers. As falhas, designadas IngressNightmare, afetam o Ingress NGINX Controller, componente utilizado para balanceamento de carga e proxy reverso dentro dos clusters Kubernetes.

As vulnerabilidades envolvem o controlador de admissão, responsável pela validação dos objetos de entrada antes da sua implementação, tornando-o um ponto vulnerável. As vulnerabilidades são identificadas como CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 e CVE-2025-1974, e a Wiz alertou para o facto de esses controladores de admissão poderem ser acedidos pela rede sem autenticação. De acordo com a pesquisa, 41% dos clusters expostos à Internet utilizam o Ingress NGINX.

A exploração destas vulnerabilidades ocorre durante a validação da configuração NGINX e permite que um atacante injete uma configuração arbitrária. Isto, por sua vez, permite a execução remota de código (RCE) no pod do controlador, dando ao invasor controlo total do cluster. O impacto de um ataque bem-sucedido inclui o acesso aos segredos armazenados em todos os namespaces e coloca em risco a segurança de dados críticos.

Nir Ohfeld, chefe de pesquisa da Wiz, alertou para a gravidade da situação, sublinhando que  Kubernetes é a espinha dorsal de muitos ambientes de cloud modernos. Se um atacante obtiver controlo de um cluster, terá acesso a todos os dados, com implicações vastas para empresas e organizações que dependem desta infraestrutura.

As versões corrigidas do Ingress NGINX Controller (1.12.1 e 1.11.5) já foram lançadas. A recomendação é que os utilizadores atualizem as versões o mais rapidamente possível ou adotem medidas temporárias, como desativar o controlador de admissão ou restringir o seu acesso até à implementação da correção.