В Банке данных угроз (BDU) была зарегистрирована новая серьёзная уязвимость, затрагивающая популярный контроллер входящего трафика для кластеров Kubernetes - ingress-nginx. Идентифицированная под номерами BDU:2026-01287 и CVE-2026-24512, эта проблема безопасности связана с недостаточной проверкой входных данных и может позволить злоумышленнику получить полный контроль над компонентом.
Детали уязвимости
Уязвимость существует в двух основных ветках проекта. В частности, риску подвержены версии ingress-nginx до 1.13.7, а также до 1.14.3. Данный контроллер является критически важным сетевым компонентом, который управляет внешним доступом к сервисам внутри кластера Kubernetes, выступая в роли точки входа для веб-трафика. Ошибка типа CWE-20 (недостаточная проверка вводимых данных) позволяет удалённому атакующему, имеющему предварительный доступ к кластеру на уровне привилегированного пользователя (PR:L), выполнить произвольный код в контексте работы самого контроллера.
Эксперты присвоили уязвимости высокий уровень опасности. Базовые оценки по шкале CVSS подтверждают серьёзность угрозы. По версии CVSS 2.0 оценка достигает 9.0, а по более современной CVSS 3.1 - 8.8 баллов. Согласно векторам атаки, эксплуатация не требует взаимодействия с пользователем (UI:N) и может привести к полной компрометации конфиденциальности, целостности и доступности системы (C:H/I:H/A:H). Основным способом эксплуатации является манипулирование ресурсами Kubernetes, в частности объектами Ingress.
Производитель, сообщество The Kubernetes Authors, уже подтвердил наличие уязвимости и выпустил исправления. Следовательно, основной и наиболее эффективной мерой защиты является немедленное обновление ingress-nginx до версий, в которых проблема устранена. В связи с этим администраторам следует перейти на версии, вышедшие после 1.13.7 и 1.14.3 соответственно для каждой ветки разработки. Однако в официальной рекомендации BDU содержится важное предостережение. Из-за сложившейся геополитической обстановки и санкций, организациям рекомендуется тщательно оценивать все сопутствующие риски перед установкой обновлений из внешних источников.
Если немедленное обновление по каким-либо причинам невозможно, специалисты предлагают ряд компенсирующих мер для снижения риска. Например, можно ограничить возможность обработки объектов Ingress, которые содержат специфическое значение «ImplementationSpecific» в поле pathType. Кроме того, крайне рекомендуется использовать межсетевые экраны для строгого ограничения удалённого доступа к уязвимому ПО. Эффективной практикой является создание «белого» списка IP-адресов, которым разрешено взаимодействие с контроллером.
Для своевременного обнаружения атак следует задействовать SIEM-системы для мониторинга подозрительной активности, связанной с попытками эксплуатации данной уязвимости. Дополнительно необходимо придерживаться принципа минимальных привилегий, отключая неиспользуемые учётные записи и ограничивая права пользователей. Важнейшей общей рекомендацией остаётся максимальное ограничение доступа к платформе Kubernetes из внешних сетей, включая интернет, чтобы сократить поверхность для потенциальной атаки.
На текущий момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Тем не менее, высокий рейтинг CVSS и характер уязвимости делают её привлекательной мишенью для злоумышленников, включая возможность использования в составе программ-вымогателей (ransomware). Следовательно, задержки с применением патчей или компенсирующих мер могут привести к серьёзным инцидентам безопасности. Подробности технического характера, а также статус исправлений можно отслеживать в официальном репозитории Kubernetes на GitHub по предоставленной ссылке. Администраторам и специалистам по безопасности настоятельно рекомендуется безотлагательно провести аудит своих кластеров на предмет использования уязвимых версий ingress-nginx и принять необходимые меры для защиты инфраструктуры.
Ссылки
- https://bdu.fstec.ru/vul/2026-01287
- https://www.cve.org/CVERecord?id=CVE-2026-24512
- https://github.com/kubernetes/kubernetes/issues/136678
