1./ Tổng quan
Năm lỗ hổng bảo mật nghiêm trọng đã được tiết lộ gần đây trong Ingress NGINX Controller for Kuberbets có thể dẫn đến thực thi mã từ xa tùy ý, truy cập trái phép vào tất cả các bí mật được lưu trữ trên tất cả các namespaces trong cụm Kubernetes, có thể dẫn đến thỏa hiệp toàn bộ cụm.
Ingress NGINX Controller là một bộ điều khiển Ingress (Ingress Controller) phổ biến trong Kubernetes, giúp định tuyến các yêu cầu HTTP/HTTPS từ bên ngoài vào các dịch vụ chạy bên trong cluster. Nó được xây dựng dựa trên NGINX – máy chủ web mạnh mẽ, hiệu suất cao, và hoạt động như một reverse proxy.
Có thể tóm tắt các lỗ hổng như sau:
| STT | CVE Number | Mô tả | Severity |
| 1 | CVE-2025-1974 | Lỗ hổng này cho phép kẻ tấn công không cần xác thực truy cập vào mạng pod có thể thực hiện tấn công RCE (thực thi mã từ xa) và chiếm quyền điều khiển toàn bộ cluster | NGHIÊM TRỌNG |
| 2 | CVE-2025-1098 | Đây là lỗi injection cấu hình NGINX thông qua các annotation không được kiểm tra kỹ lưỡng. | CAO |
| 3 | CVE-2025-1097 | Lỗ hổng này cho phép kẻ tấn công inject cấu hình NGINX độc hại thông qua annotation auth-tls-match-cn, dẫn đến thực thi mã từ xa (RCE) và truy cập toàn bộ Secret trong cluster | CAO |
| 4 | CVE-2025-24514 | Lỗ hổng bảo mật trong Ingress NGINX Controller cho Kubernetes, được mô tả là “auth-url Annotation Injection”. Lỗ hổng này cho phép kẻ tấn công tiêm cấu hình NGINX độc hại thông qua các annotation, dẫn đến thực thi mã từ xa (RCE) và truy cập toàn bộ Secret trong cluster. | CAO |
| 5 | CVE-2025-24513 | Lỗ hổng này cho phép kẻ tấn công thực hiện các cuộc tấn công Dos do việc validate input chưa đúng. | TRUNG BÌNH |
2./ Điều kiện khai thác:
- CVE-2025-1974: Kẻ tấn công thực hiện tấn công không cần xác thực, kẻ tấn công có quyền truy cập vào mạng Pod hoặc mạng VPC/VLAN, hệ thống sử dụng phiên bản phần mềm bị ảnh hưởng bởi lỗ hổng bảo mật.
- CVE-2025-1098: Ứng dụng đang sử dụng phiên bản phần mềm bị ảnh hưởng bởi lỗ hổng bảo mật. Kẻ tấn công có quyền tạo/chỉnh sửa đối tượng Ingress hoặc truy cập trực tiếp vào admission webhook.
- CVE-2025-1097: Ứng dụng đang sử dụng phiên bản hệ thống bị dính lỗ hổng bảo mật, kẻ tấn công có quyền tạo/chỉnh sửa Ingress object hoặc truy cập mạng đến admission webhook.
- CVE-2025-24514: Ứng dụng đang sử dụng phiên bản hệ thống bị dính lỗ hổng bảo mật.
- Ngoài ra có thể thực hiện kiểm tra trên hệ thống có cài đặt ingress-nginx trên cluster hay không bằng cách chạy lệnh: “kubectl get pods –all-namespaces –selector app.kubernetes.io/name=ingress-nginx”
3./ Khuyến nghị giảm thiểu
- Thực hiện cập nhật các phiên bản theo khuyến nghị
- Trước khi áp dụng bản vá, vấn đề này có thể được giảm thiểu bằng cách disabling the Validating Admission Controller của Ingress-nginx.
**Chi tiết các bản cập nhật:
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | CVE-2025-1974 | ingress-nginx phiên bản < v1.11.0
phiên bản từ v1.11.0 – 1.11.4 phiên bản v1.12.0 |
Upgrade ingress-nginx to v1.11.5, v1.12.1, or any later version |
| 2 | CVE-2025-1098 | ingress-nginx phiên bản < v1.11.0
phiên bản từ v1.11.0 – 1.11.4 phiên bản v1.12.0 |
Upgrade ingress-nginx to v1.11.5, v1.12.1, or any later version |
| 3 | CVE-2025-1097 | ingress-nginx phiên bản < v1.11.0
phiên bản từ v1.11.0 – 1.11.4 phiên bản v1.12.0 |
Upgrade ingress-nginx to v1.11.5, v1.12.1, or any later version |
| 4 | CVE-2025-24514 | ingress-nginx phiên bản < v1.11.0
phiên bản từ v1.11.0 – 1.11.4 phiên bản v1.12.0 |
Upgrade ingress-nginx to v1.11.5, v1.12.1, or any later version |
| 5 | CVE-2025-24513 | ingress-nginx phiên bản < v1.11.0
phiên bản từ v1.11.0 – 1.11.4 phiên bản v1.12.0 |
Upgrade ingress-nginx to v1.11.5, v1.12.1, or any later version |
**Tham khảo:
Remote Code Execution Vulnerabilities in Ingress NGINX | Wiz Blog
