IngressNightmare: Memahami CVE 2025 1974 pada Kubernetes Ingress-NGINX

Platform yang Terpengaruh: Ingress-NGINX Containers v1.11.0-4, v1.12.0, dan versi di bawah v1.11.0

Pengguna yang Terdampak: Semua Organisasi

Dampak: Penyerang dapat mengambil alih sistem yang rentan

Tingkat Keparahan: Kritis

Pada 24 Maret 2025, peneliti dari Wiz, Inc. mengungkap kelompok kerentanan kritis dalam Kubernetes Ingress-NGINX Controller, yang dijuluki IngressNightmare. Salah satu celah paling serius adalah CVE‑2025‑1974, yang memungkinkan penyerang dengan akses jaringan ke admission webhook untuk menjalankan Remote Code Execution (RCE) dalam pod ingress controller. Kerentanan ini sebelumnya dilaporkan secara tertutup dan diumumkan secara publik setelah tambalan tersedia. Nilai CVSS-nya adalah 9.8, menegaskan bahwa ini adalah ancaman dengan urgensi tinggi untuk segera diperbaiki.

Ringkasan Kerentanan IngressNightmare

• CVE‑2025‑1974: Memungkinkan permintaan jahat tanpa autentikasi ke admission webhook Ingress-NGINX. Penyerang dapat mengirim objek Ingress dengan direktif NGINX berbahaya yang disisipkan, dan akhirnya mendapatkan eksekusi kode jarak jauh di pod controller.
• Kerentanan Injeksi Anotasi Tambahan: Termasuk kelemahan dalam penyaringan anotasi seperti auth-url, auth-tls-match-cn, dan mirror-target. Jika dikombinasikan dengan CVE‑2025‑1974, penyerang dapat menyisipkan konfigurasi NGINX berbahaya untuk menjalankan kode arbitrer.

Catatan Penting: Dalam banyak konfigurasi, admission webhook dapat dijangkau dari jaringan internal kluster (misalnya, dari pod mana pun). Artinya, pod yang sudah dikompromi dapat mengeksploitasi celah ini tanpa kredensial API Kubernetes.

Kenapa Akses Jaringan Penting

Pengujian menunjukkan bahwa eksploitasi ini membutuhkan akses jaringan langsung ke admission controller. Jika hanya tersedia akses melalui kubectl port-forward atau metode tidak langsung lainnya, mekanisme pengunggahan file besar mungkin tidak berfungsi. Dalam praktiknya, serangan RCE ini sering dilakukan dari pod yang sudah berjalan dalam jaringan kluster (misalnya, container jahat akibat SSRF, job salah konfigurasi, atau hasil kompromi sebelumnya).

Alur Serangan secara Singkat

Dengan menggabungkan kerentanan-kerentanan ini, penyerang dapat:

1. Mengunggah file .so berbahaya menggunakan buffering default NGINX untuk permintaan HTTP besar.
2. Merujuk file tersebut melalui path khusus di /proc/<pid>/fd/<fd> meskipun telah dihapus, karena masih terbuka melalui file descriptor.
3. Menyisipkan direktif NGINX berbahaya (misalnya, ssl_engine) lewat anotasi Ingress.
4. Menjalankan reverse shell dari dalam pod ingress controller dan mewarisi hak akses service account pod tersebut — yang mungkin memiliki izin luas di kluster.

Mitigasi

Karena kerentanan ini dapat menyebabkan kompromi penuh terhadap kluster, mitigasi harus menjadi prioritas tinggi:

• Perbarui Ingress-NGINX ke 12.1 atau lebih tinggi, atau ke v1.11.5 jika berada di jalur rilis lama. Patch ini menghapus metode validasi yang berisiko.
• Batasi Akses ke Admission Webhook jika belum bisa memperbarui. Gunakan network policy agar hanya Kubernetes API server yang dapat mengakses webhook.
• Nonaktifkan Fitur Tidak Terpakai seperti anotasi snippet, otentikasi TLS client, atau mirroring jika tidak dibutuhkan.
• Perkuat Service Account. Hindari memberi hak akses kluster yang luas pada service account ingress. Jika controller dikompromi, dampaknya bisa dikurangi.

Deteksi Eksploitasi IngressNightmare

Deteksi oleh Lacework FortiCNAPP:

• Lacework Agent:
  • Mendeteksi proses mencurigakan.
  • Memonitor koneksi jaringan dan memblokir panggilan ke domain jahat.
• Kubernetes Compliance Agent:
  • Mengawasi konfigurasi sumber daya, termasuk definisi Ingress yang tidak aman atau service account yang terlalu banyak izin.
• Audit Log Kubernetes:
  • Melacak upaya pembacaan rahasia dari pod yang terkompromi.
• Pemantauan Konfigurasi Cloud:
  • Mendeteksi perubahan terhadap konfigurasi kluster.
  • Memberi peringatan jika kredensial node atau service account disalahgunakan.

Contoh peringatan yang dihasilkan:

• Pencurian Kredensial Node
• Koneksi ke Domain Mencurigakan (misalnya burpcollaborator.net)
• Enumerasi Resource Kluster oleh ingress-nginx
• Penyalahgunaan Service Account Default

Perlindungan Fortinet Security Fabric

Di luar FortiCNAPP, Fortinet Security Fabric menawarkan perlindungan tambahan:

• FortiGate NGFW: Mendeteksi dan memblokir pola lalu lintas mencurigakan.
• FortiAnalyzer: Mengagregasi log dan indikator kompromi untuk analisis forensik.
• FortiGuard Threat Intelligence: Memperbarui signature pendeteksian lalu lintas berbahaya secara otomatis.
• FortiSandbox: Menganalisis file berbahaya (.so, .exe) yang terkait dengan container.

Kesimpulan

IngressNightmare (CVE‑2025‑1974 dan kerentanan terkait) menunjukkan pentingnya konfigurasi Ingress yang aman dan pembatasan ketat pada webhook admission. Jika tidak ditambal dan dibiarkan terbuka, penyerang bisa naik dari pod dengan hak istimewa rendah menjadi pengendali penuh kluster.

Langkah kritis:

• Segera perbarui ke Ingress-NGINX v1.12.1+ atau v1.11.5+
• Batasi akses jaringan ke admission webhook
• Minimalkan hak istimewa pada service account Ingress

Dengan kombinasi visibilitas berkelanjutan, deteksi berlapis, dan perlindungan runtime, organisasi dapat menjaga kluster Kubernetes mereka tetap tangguh terhadap ancaman seperti IngressNightmare.

Referensi Tambahan

• Penasihat Kubernetes untuk CVE‑2025‑1974
• Blog Teknis Wiz: IngressNightmare
• Laporan FortiGuard Threat Signal: IngressNightmare
• Dokumentasi Lacework FortiCNAPP

Perlindungan Fortinet

FortiGuard Labs telah menyediakan signature IPS untuk mendeteksi eksploitasi kerentanan berikut:

• CVE-2025-1974: Kubernetes.Ingress.NGINX.Controller.Remote.Code.Execution

Tetap waspada dan pastikan sistem Anda diperbarui serta diamankan sesuai rekomendasi terbaru.

Infrastruktur IT yang kuat adalah kunci produktivitas perusahaan. Dengan qfirewall.id, Anda bisa mendapatkan solusi IT lengkap yang sesuai dengan kebutuhan Anda. iLogo Indonesia sebagai mitra terpercaya siap mengintegrasikan semuanya agar bisnis Anda tetap berjalan lancar dan aman.
Hubungi kami sekarang atau kunjungi qfirewall.id untuk informasi lebih lanjut!