Kubernetesに見つかった4つの“悪夢” 約半数のクラウド環境が無防備と警告：Cybersecurity Dive

Wizの研究者たちは、Kubernetes向けのIngress NGINX Controllerに複数の脆弱性が存在し、クラウド環境が乗っ取られるリスクがあると警告した。この脆弱性に対して約43％がこれらの脆弱性に対して無防備な状態だという。

[Rob Wright，Cybersecurity Dive]

　Wizの研究者たちは2025年3月24日（現地時間、以下同）、コンテナオーケストレーションプラットフォーム「Kubernetes」の環境で使用される「Ingress NGINX Controller」に存在する4つの重大な脆弱（ぜいじゃく）性「CVE-2025-1097」「CVE-2025-1098」「CVE-2025-24514」「CVE-2025-1974」の技術的な詳細を公開した（注1）（注2）（注3）（注4）。これらの脆弱性は、広く使用されている同コントローラーに対して、リモートからのコード実行を可能にするものだ。

　Ingress NGINX Controllerは、クラウド環境におけるコンテナ化されたアプリケーションを管理するためのプラットフォームとして広く普及しているKubernetes向けのオープンソースアプリケーションだ。アプリケーションへのトラフィックを管理し、組織がKubernetes上で動作するワークロードに外部からアクセスできるようにする。研究者たちは「Ingress-NGINXは、Kubernetesのアプリケーションを外部に公開するために最もよく使われている手法の一つだ」と述べている。

Kubernetesに見つかった4つの“悪夢”　約半数のクラウド環境が無防備

　これらの脆弱性が悪用された場合、攻撃者は組織のKubernetesの環境に関する機密データにアクセスできるようになり、クラスタの完全な乗っ取りにつながる可能性がある。

　Wizの研究者たちは、これらの脆弱性を「IngressNightmare（Ingressの悪夢）」と名付け、インターネットに公開されているコントローラーを使用する多くの組織が危険にさらされているとして、Ingress NGINX Controllerをアップデートして脆弱性を直ちに修正するよう警告した。

　Wizの研究者たちは、2025年3月24日に投稿したブログ記事で次のように述べた（注5）。

　「私たちの分析によると、クラウド環境の約43％がこれらの脆弱性に対して無防備な状態だ。調査の結果、Fortune 500に認定されている企業を含む6500以上のクラスタが、脆弱性を備えた『Kubernetes Ingress Controller』のアドミッションコントローラーをインターネットに公開していることが判明している。これは重大なリスクにさらされた状態だ」

　Wizによると、アドミッションコントローラーは、Kubernetesの環境において見過ごされがちな攻撃経路だという。通常これらは、デフォルトの状態でネットワークを経由してアクセス可能であり、多くの場合、認証は要求されない。

IngressNightmareの脆弱性

　この攻撃経路を調査する中で、Wizの研究者たちは、Ingress-NGINXのアドミッションコントローラーが受信したオブジェクトを検証する際の問題を発見した。研究チームによると、攻撃者はリモートからNGINXに関する任意の設定を注入することで、このコントローラーを侵害できるという。この脆弱性の悪用により、攻撃者はコントローラーが持つ高い権限と広範なネットワークアクセスを最大限に利用できるようになり、最終的には組織内のKubernetesのクラスタ全体を乗っ取ることが可能になる。

　Ingress-NGINXの開発チームは2025年3月24日に、これらの脆弱性に対する修正パッチをリリースした。Kubernetesのセキュリティ対応委員会に所属するタビサ・セーブル氏は、セキュリティ勧告の中で（注6）、これらの脆弱性が悪用されると組織のクラスタが容易に乗っ取られる可能性があると警告し、ユーザーに対して直ちに対応を取るよう促した。また、GoogleとAmazon Web Services（AWS）もIngressNightmareの脆弱性に関するセキュリティ勧告をそれぞれ公開している（注7）（注8）。

　Wizのブログ記事では、Ingress NGINX Controllerに影響を及ぼす5つ目の脆弱性「CVE-2025-24513」に対する言及もなされている。しかしWizのヒライ・ベン＝サッソン氏（シニアセキュリティリサーチャー）は「Cybersecurity Dive」に対し、電子メールで「この脆弱性はリモートコードの容易な実行につながるものではないため、『IngressNightmare』には含まれていない」と述べた。

　また、ベン＝サッソン氏は「現時点ではこれらの脆弱性を悪用した活動は確認されていないものの、研究チームは引き続き状況を注視している」とも述べている。

　Wizは、脆弱性の修正パッチを適用するだけでなく、アドミッションコントローラーへのアクセスを制限するネットワークポリシーを組織に導入するよう推奨している。また、研究チームは、アドミッションコントローラーに関するセキュリティ上の問題はまだ氷山の一角にすぎないと警告している。

　研究チームは、次のように述べた。

　「私たちは、最小権限の原則に基づく設計が徹底されていないことに驚いた。脆弱性の悪用により、攻撃者は最終的にクラスタ全体を支配するほどの権限を得ることができるのだ。この調査の過程で、Ingress NGINX Controllerに関連する他の脆弱性も発見しており、他のアドミッションコントローラーからも今後さらに脆弱性が見つかるだろうと考えている」

　ベン＝サッソン氏によると、Wizの研究チームはクラウド環境において大きな影響を及ぼす新たな攻撃経路を常に調査しており、IngressNightmareはその代表的な例の一つだという。

　「私たちが攻撃対象としてアドミッションコントローラーに注目したのは、それが攻撃者にとって非常に魅力的に見えたためだ。ネットワーク全体に公開されており、認証は不要で、高い権限で動作していることが多い。Ingress-NGINXの場合、その疑念の正しさと、この攻撃経路が持つ影響の大きさを確認できた」（ベン＝サッソン氏）

（注1）CVE-2025-1097 Detail（NIST）
（注2）CVE-2025-1098 Detail（NIST）
（注3）CVE-2025-24514 Detail（NIST）
（注4）CVE-2025-1974 Detail（NIST）
（注5）IngressNightmare: CVE-2025-1974 - 9.8 Critical Unauthenticated Remote Code Execution Vulnerabilities in Ingress NGINX（WIZ）
（注6）Ingress-nginx CVE-2025-1974: What You Need to Know（Kubernetes）
（注7）GCP-2024-060（Google Cloud）
（注8）Issues with Kubernetes ingress-nginx controller (Multiple CVEs)（AWS）

原文へのリンク