Cinco vulnerabilidades críticas en Ingress NGINX comprometen la seguridad de más de 6.500 entornos en la nube
El ecosistema Kubernetes enfrenta una grave amenaza tras revelarse IngressNightmare, un conjunto de cinco vulnerabilidades críticas que afectan al controlador Ingress NGINX, uno de los componentes más populares para exponer servicios en clústeres Kubernetes. La firma de ciberseguridad en la nube Wiz ha sido la responsable de destapar esta cadena de fallos, que ya cuenta con exploits públicos y podría permitir la ejecución remota de código (RCE) sin autenticación, con una puntuación CVSS máxima de 9,8.
Según el análisis de Wiz, estas fallas representan una puerta abierta para el acceso no autorizado a todos los secretos almacenados en los diferentes espacios de nombres de un clúster, lo que podría derivar en el control total del entorno Kubernetes afectado.
Vulnerabilidades de alto impacto
Las vulnerabilidades han sido registradas con los siguientes identificadores:
- CVE-2025-24513 (CVSS: 4,8): fallo de validación de entrada que puede provocar denegación de servicio o exposición parcial de secretos.
- CVE-2025-24514, CVE-2025-1097, CVE-2025-1098 (CVSS: 8,8): permiten la inyección remota de configuraciones arbitrarias en NGINX a través de anotaciones del recurso Ingress.
- CVE-2025-1974 (CVSS: 9,8): posibilita la ejecución remota de código al utilizar configuraciones NGINX maliciosas desde cualquier pod de la red.
Wiz señala que aproximadamente un 43 % de los entornos cloud podrían estar en riesgo, con más de 6.500 clústeres Kubernetes expuestos a través de internet, incluidos sistemas de grandes corporaciones globales.
Inyección de configuración y ejecución de código
La técnica de ataque se basa en el envío de solicitudes AdmissionReview maliciosas al componente de admisión del controlador Ingress NGINX. Dicho controlador, al validar la configuración del Ingress, traduce las anotaciones al lenguaje de NGINX, ejecutando un proceso de validación (nginx -t) que puede ser manipulado para cargar bibliotecas compartidas maliciosas.
A través de una cadena cuidadosamente diseñada, un atacante puede aprovechar las funciones de almacenamiento temporal de cuerpo de cliente (client body buffering) de NGINX para subir una carga útil que será luego ejecutada mediante directivas como ssl_engine, incluso sin acceso administrativo previo.
¿Qué se puede hacer?
El Comité de Respuesta de Seguridad de Kubernetes ya ha publicado actualizaciones que corrigen estas vulnerabilidades en las versiones 1.12.1, 1.11.5 y 1.10.7 del controlador Ingress NGINX. Mientras tanto, se recomienda seguir estas medidas:
- Actualizar inmediatamente a una versión corregida del controlador.
- Asegurar que el webhook de admisión no esté expuesto públicamente.
- Restringir el acceso al componente de admisión exclusivamente al servidor API de Kubernetes.
- Desactivar temporalmente el componente de admisión, si no es imprescindible para la operación.
Wiz también ha publicado una plantilla para Nuclei, una herramienta de escaneo automatizado, que permite detectar si un clúster está expuesto.
Más allá de Ingress: un problema estructural
El equipo de investigación de Wiz subraya que la arquitectura por defecto de muchos clústeres Kubernetes no restringe adecuadamente el acceso a los controladores de admisión, lo que amplía enormemente la superficie de ataque. A esto se suma la elevada cantidad de privilegios asignados a estos componentes, en contra del principio de mínimos privilegios.
Hillai Ben-Sasson, investigador de Wiz, afirma: “Estamos viendo cómo se repite un patrón de diseño inseguro en componentes críticos de Kubernetes. IngressNightmare no es un caso aislado, y creemos que existen más controladores de admisión vulnerables esperando a ser descubiertos”.
Conclusión
El caso IngressNightmare pone de manifiesto la necesidad urgente de reforzar la seguridad en el diseño y despliegue de clústeres Kubernetes, especialmente cuando se exponen a internet. Las organizaciones deben revisar sus configuraciones, actualizar los controladores afectados y adoptar políticas de red más estrictas.
Dado el alto impacto y la facilidad de explotación, la ventana para mitigar esta amenaza es crítica. Ignorarla podría resultar en filtraciones masivas de información sensible, interrupciones del servicio o incluso el control completo del entorno por parte de atacantes.
Fuente: Wiz y Ingress nginx
