Newsletter #130 - Ale wtopa z tym ingressem

Oj, nieźle się porobiło! W światku Kubernetesowym zawrzało po ujawnieniu poważnej luki w popularnym kontrolerze ingress-nginx. Wtopa jest konkretna, ale spokojnie, bez paniki!
Dziś o tej podatności, o konferencjach gdzie mnie możesz spotkać i szkoleniach na żywo.

Luka w ingress-nginx

Firma Wiz, specjalizująca się w cloud security, wygrzebała niezłą minę – zestaw poważnych luk w ingress-nginx. Mówimy o kontrolerze, którego używa 40% środowisk chmurowych (według Wiz).
Główny problem (CVE-2025-1974) siedzi w admission controllerze ingress-nginx i uwaga – ta podatność drzemała tam niemal od początku projektu! Szok? No pewnie!

Czy łatwo jest wykorzystać tą lukę?

Na szczęście exploit nie jest banalny i wymaga spełnienia pewnych warunków. Atakujący musi już mieć dostęp do klastra Kubernetes, który pozwoli mu gadać z podem ingress-nginx przez Service.
Ale to nie wszystko! Atakujący potrzebuje dodatkowej wiedzy i zasobów, np. umiejętności napisania specjalnej biblioteki współdzielonej, żeby zyskać shell w ingress-nginx. Wiz team co prawda pokazał demo exploita na krótkim filmiku, ale pełnego skryptu nie udostępnili.
Czyli potencjalni napastnicy muszą sami się natrudzić, żeby stworzyć działający exploit. Może być to jednak prostsze z dzisiejszymi narzędziami AI, a zatem koniecznie trzeba się zabezpieczyć.

Jak się obronić

Na szczęście lekarstwo jest banalnie proste: aktualizacja ingress-nginx.
Najważniejsze to jak najszybciej zaktualizować ingress-nginx do najnowszej, załatanej wersji. Instrukcje aktualizacji znajdziesz w oficjalnej dokumentacji dla Twojego sposobu wdrożenia (Helm, manifesty, etc.).

Po szczegóły i lekcje na przyszłość odsyłam do mojego artykułu: https://cloudowski.com/articles/how-critical-is-the-ingress-nginx-vulnerability/

Spotkaj mnie na tych konferencjach

Confidence
🗓️ Kraków, 2-3 czerwca (jeszcze nie wiem którego dnia)
Temat: [EN] Hacking and Securibg Kubernetes

Devoxx Poland
🗓️ Kraków, 11-13 czerwca (jeszcze nie wiem którego dnia)
Temat: [EN] Synergy of GitOps and CI/CD pipelines

IT Unplugged (🔥 -20% z kodem “CLOUDOWSKI20” )
🗓️ Lublin, 10 czerwca
Temat: [PL] Synergia GitOps i potoków CI/CD

🗓️ Kalendarz szkoleń na żywo

Dla tych co pytają o szkolenia na żywo mam dobrą wiadomość. Właśnie opublikowałem kalendarz szkoleń z dostępnymi terminami.
To okazja, aby w dedykowanym czasie skupić się na zrozumieniu jak to wszystko działa, dopytać o szczegóły, przetestować, czasem pobłądzić i zadać trudne pytania.

👉 Sprawdź szczegóły na stronie: https://cloudowski.com/training/#calendar