הגדרות תמימות, פרצות מסוכנות: מה באמת מסתתר מאחורי IngressNightmare?
בעקבות שרשרת הפרצות שחשפה Wiz, בדקנו עד כמה באמת הקלאסטרים שלנו בטוחים. זה מה שגילינו
תמונה: Unsplash
בתחילת השנה, חשפה חברת Wiz לראשונה את IngressNightmare, ודיווחה על שרשרת של פרצות אבטחה שתויגו כ- CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 ו-CVE-2025-1974 ב־Ingress-NGINX Controller הפופולרי של קוברנטיס.
הפרצות גילו שתוקף לא מזוהה (unauthenticated) יכול לשדרג את רמת ההרשאות שלו עד לביצוע קוד מרחוק (Remote Code Execution) מלא בתוך פוד של ingress-nginx: מצב שעלול לאפשר לו להשתלט על כלל אשכול הקוברנטיס. אלו ממצאים שמצביעים על סיכון ממשי לפריצה כוללת של הקלאסטר דרך רכיב תשתיתי שנחשב לתמים ושגרתי לכאורה.
כאשר קראנו על זה בפנטרה, הבנו מיד שמדובר בסוגיה בוערת. במרחב בו כל הזמן מתגלים איומים חדשים, מבחינתנו היה מדובר באירוע שדורש התעמקות מיידית. תוך שבוע מרגע פרסום הממצאים, כבר ניסינו לשחזר את המתקפה במעבדות שלנו ולהבין לעומק את המנגנונים שמאחוריה מתוך מטרה לקחת את הממצאים הלאה, לאבטח את המוצרים שלנו ולהפוך את הסביבה כולה לבטוחה יותר.
כצעד ראשון, שכפלנו את אירועי ה-CVE שפורסמו ובתוך שלושה ימים גילינו שלוש נקודות חדירה נוספות – permanent-redirect, server-alias, rewrite-target. כל אחת מן הנקודות האלו יכולה להוות וקטור תקיפה בפני עצמו.
הממצאים החדשים, למרבה הצער, חושפים אמת מטרידה: לא כל נתיבי התקיפה ידועים מראש. ברגע שתוקפים חודרים לרשת, נפתחות בפניהם שלל אפשרויות לתנועה רוחבית (lateral movement) והסלמת הרשאות, ואין ספק שהם ינסו לנצל את ההזדמנויות האלו.
הגדרות תמימות הופכות לכלי נשק
החולשות החדשות שהתגלו מדגימות כיצד הגדרות תמימות למראה עלולות להפוך לכלי נשק בידי תוקפים:
- permanent-redirect: מאפשרת לבצע הפניה קבועה (Permanent Redirect) במקום להעביר את הבקשה לשרת היעד (Upstream).
- server-alias: מאפשרת לתוקפים להוסיף כינויים (Aliases) נוספים בקובץ הקונפיגורציה של NGINX.
- rewrite-target: מאפשרת לשכתב את נתיב הבקשה, כך שכל רכיב שנמצא בתוך הרשת הפנימית של הקלאסטר יכול לבצע בקשת admission לingress controller ללא התאמתות, מה שמאפשר לתוקפים לנצל את השדות האלה, או השדות שהוזכרו במאמר של wiz ולהחדיר קוד שיתבצע מתוך קובץ הקונפיגורציה בפוד של nginx.
המסקנה הברורה היא שחולשות הנובעות מלוגיקה מוצרית לא מדויקות הן לא רק "באגים טכניים". אלו סיכונים מהותיים לביטחון הארגון. הגדרה לא מדויקת של Ingress, או חוסר מודעות להשפעות של שדות כמו rewrite-target, עלולים להיראות שוליים בשלב הפיתוח – אך להפוך לנקודת כשל שתוקף מיומן ישמח לנצל.
רוצים לקבל את הניולזטר השבועי של ITtime? הירשמו כאן
החולשות שהתגלו מדגישות לנו עד כמה חשוב לשמור על המערכות שלנו מעודכנות, מנוטרות ומאובטחות. במהלך המחקר שערכנו גילינו עד כמה קשה או אף בלתי אפשרי לנצל את החולשות האלו במערכת קוברנטיס. בגרסה הפגיעה, לא יכולת להריץ פקודות בתוך הקלאסטר. ארגונים שחושפים בצורה לא בטוחה את ה-network הפנימי של הקלאסטר שלהם לעולם החיצון או משאירים בפודים שלהם חולשות אבטחה, חושפים את עצמם גם למגוון רחב יותר של תקיפות.
על רקע התגליות, צוותי DevOps ואבטחת מידע צריכים לשלב תהליכי בדיקה אוטומטיים של הגדרות Ingress כחלק ממחזור הפיתוח, כמובן לצד ביצוע סקרי אבטחה שוטפים, כדי להקטין את שטח התקיפה. אבטחה אינה מצב אלא תהליך – והטמעה של תודעת אבטחת מידע לכל אורך חיי חברה היא המפתח למניעת הפרצה הבאה.
מה הלאה עבור צוותי האבטחה?
שרשרת הפגיעויות של IngressNightmare מזכירה לנו כי אבטחה איננה רק עניין של תיקון נקודתי. מדובר בהבנה עמוקה של חשיבת התוקפים, ובצורך מתמיד בבדיקות שוטפות של הסביבה וההגדרות. עדכון מוצרים, שימוש בכלים המזהים תצורות מסוכנות (misconfigurations), ביצוע סקרי אבטחה שוטפים – כל אלו חיוניים כדי להקטין את שטח התקיפה. הגישה המומלצת היא לראות בכל שינוי קטן (כמו עדכון routing או הוספת service חדש) אירוע שדורש בדיקת עומק. אבטחה היא תהליך, והטמעה של תודעת אבטחת מידע היא המפתח למניעת הפרצה הבאה.
ולכל אנשי הסייבר שקוראים – ברגע שתוקפים מצליחים לחדור לסביבה שלכם, נפתחות בפניהם אפשרויות רבות לתנועה והזדמנויות של ניצול נקודות תורפה נוספות. כל גילוי חדש הוא רק תחילת חקירה מעמיקה ומורכבת יותר.
הכותב הוא Cyber security researcher בחברת פנטרה
