IngressNightmare : Vulnérabilités critiques affectant des milliers de clusters Kubernetes
2025-03-25
Wiz Research a découvert une série de vulnérabilités d'exécution de code à distance non authentifiées (dénommées #IngressNightmare) dans Ingress NGINX Controller pour Kubernetes. L'exploitation permet un accès non autorisé à tous les secrets de tous les espaces de noms, pouvant mener à la prise de contrôle du cluster. Environ 43 % des environnements cloud sont vulnérables, avec plus de 6 500 clusters affectés, dont des entreprises du Fortune 500, exposant publiquement des composants vulnérables. Il est crucial d'appliquer des correctifs immédiatement. Les mesures d'atténuation incluent la mise à jour vers la dernière version d'Ingress NGINX Controller ou la désactivation du composant du contrôleur d'admission.
Développement
Exécution de code à distance