Обнаружена серия критических уязвимостей в контроллере Kubernetes ingress-nginx

В Банке данных угроз безопасности информации (БДУ) были зарегистрированы три серьёзные уязвимости в популярном компоненте для управления входящим трафиком в кластерах Kubernetes - контроллере ingress-nginx. Все они имеют общий корень - недостаточную проверку входных данных (CWE-20) - но приводят к разным последствиям, от отказа в обслуживании до выполнения произвольного кода. Уязвимости затрагивают широкий спектр версий ПО и отмечены высоким уровнем опасности.

Детали уязвимости

Первая из уязвимостей, идентифицированная как BDU:2026-03604 и CVE-2025-15566, была выявлена 6 февраля. Она затрагивает ingress-nginx версий до 1.13.7 и может позволить удалённому злоумышленнику, имеющему определённые привилегии доступа, вызвать отказ в обслуживании (DoS). Это означает, что атака способна нарушить нормальную работу сервисов, использующих этот контроллер.

Следующая проблема, BDU:2026-03565 (CVE-2026-1580), обнаруженная 2 февраля, является ещё более опасной. Она также присутствует в ingress-nginx версий до 1.13.7 и, дополнительно, в ветке 1.14.x до версии 1.14.3. В данном случае недостаточная проверка входных данных открывает путь для удалённого выполнения произвольного кода (RCE). Следовательно, злоумышленник может получить полный контроль над уязвимым компонентом.

Наиболее актуальная и представляющая наибольшую непосредственную угрозу уязвимость - BDU:2026-03523 (CVE-2026-4342) - была подтверждена 19 марта. Она распространяется на множество версий контроллера: до 1.13.9, до 1.14.5 и до 1.15.1. Как и в предыдущем случае, её эксплуатация приводит к возможности выполнения произвольного кода. Критичность ситуации усугубляется тем, что, согласно данным БДУ, для этой уязвимости уже существует эксплойт в открытом доступе. Это резко повышает вероятность массовых атак.

Все три уязвимости получили высокие оценки по шкале CVSS. Базовые оценки CVSS 3.1 составляют 8.8 баллов из 10, что классифицирует их как угрозы высокого уровня. Векторы атак схожи: для эксплуатации требуется наличие учётной записи с привилегиями (PR:L), но не требуется взаимодействие с пользователем (UI:N). Успешная атака может привести к полной компрометации конфиденциальности, целостности и доступности системы.

Важным аспектом является то, что уязвимости затрагивают не только сам контроллер ingress-nginx, но и российскую операционную систему РЕД ОС 8.0. В частности, записи BDU:2026-03604 и BDU:2026-03565 прямо указывают эту ОС в перечне уязвимого программного обеспечения. Это требует особого внимания со стороны организаций, использующих данный дистрибутив в своей ИТ-инфраструктуре.

Производители уже отреагировали на угрозы. Статус всех трёх уязвимостей в БДУ указан как «устранён». Основной и единственно надёжный способ защиты - немедленное обновление ingress-nginx до актуальных, исправленных версий. Разработчики Kubernetes опубликовали соответствующие рекомендации на платформе GitHub. Компания «Ред Софт» также предоставила информацию о патчах для РЕД ОС на своём портале.

Однако для уязвимости CVE-2026-4342 в БДУ отдельно перечислен ряд компенсирующих мер. В условиях, когда немедленное обновление невозможно, специалистам по кибербезопасности рекомендуется рассмотреть дополнительные шаги. В частности, следует ограничить доступ к уязвимому ПО с помощью межсетевых экранов, использовать схемы доступа по «белому списку» и усилить мониторинг с помощью SIEM-систем. Эти меры помогут выявить и заблокировать попытки эксплуатации.

Обнаружение трёх критических уязвимостей в одном ключевом компоненте за короткий промежуток времени подчёркивает важность постоянного мониторинга и своевременного применения обновлений безопасности. Особенно это касается инфраструктурных элементов, таких как ingress-nginx, которые часто находятся на периметре кластера и обрабатывают внешний трафик. Администраторам Kubernetes-кластеров необходимо срочно проверить используемые версии контроллера и применить исправления, чтобы исключить риск компрометации своих систем.

Детали уязвимости

Ссылки