O Ingress-Nginx, um dos componentes mais utilizados para o gerenciamento de tráfego em clusters Kubernetes, foi identificado com uma vulnerabilidade de alta gravidade. Catalogada como CVE‑2026‑3288 e com uma pontuação CVSS de 8.8, a falha reside na forma como o controlador processa certas anotações, permitindo que atacantes escapem do ambiente em sandbox e obtenham controle sobre dados sensíveis do cluster.
O problema se manifesta na anotação nginx.ingress.kubernetes.io/rewrite-target do Ingress. Pesquisadores de segurança demonstraram que essa anotação pode ser explorada para injetar configurações inválidas diretamente no processo Nginx subjacente. Essa injeção de configuração pode levar a consequências devastadoras:
- Execução Arbitrária de Código: Um atacante pode executar código arbitrário no contexto do processo do controlador Ingress-Nginx.
- Vazamento Massivo de Dados: Em implementações padrão, o controlador geralmente possui permissões de acesso em nível de cluster. Isso significa que um atacante pode percorrer e vazar todas as informações de segredo (secrets) dentro do cluster Kubernetes.
Para verificar se seu cluster está vulnerável, execute o seguinte comando:
bashkubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx
As versões afetadas são:
- ingress-nginx: versões anteriores a 1.13.8
- ingress-nginx: versões anteriores a 1.14.4
- ingress-nginx: versões anteriores a 1.15.0
Administradores devem inspecionar imediatamente os recursos Ingress em seus clusters em busca de sinais de adulteração, prestando atenção especial ao conteúdo suspeito no campo rules.http.paths.path. Tais características podem indicar uma tentativa de ataque.
A solução definitiva é atualizar o Ingress-Nginx para uma versão corrigida (v1.13.8, v1.14.4 ou v1.15.0 e superior). Se a atualização imediata não for possível, uma medida paliativa é desabilitar temporariamente a anotação rewrite-target por meio de políticas de controle de admissão (admission controllers), reduzindo o risco até que a correção seja aplicada. Essa medida de mitigação impede a exploração da vulnerabilidade, bloqueando a injeção de configurações maliciosas.
Contexto Adicional:
A vulnerabilidade CVE-2026-3288 destaca a importância de uma configuração segura e do gerenciamento de permissões em ambientes Kubernetes. O Ingress-Nginx, sendo um ponto de entrada crítico para o tráfego externo, requer atenção especial em relação à segurança. A exploração bem-sucedida dessa falha pode comprometer toda a infraestrutura, permitindo que um atacante obtenha acesso a informações confidenciais, como credenciais de banco de dados, chaves de API e outros segredos armazenados no cluster. Além disso, a capacidade de executar código arbitrário no contexto do controlador Ingress-Nginx abre caminho para ataques mais sofisticados, como a instalação de backdoors ou a execução de ataques de negação de serviço (DoS).
Recomendações:
- Atualize o Ingress-Nginx: A prioridade máxima deve ser a atualização para uma versão corrigida o mais rápido possível.
- Implemente Políticas de Controle de Admissão: Utilize políticas de controle de admissão para restringir o uso de anotações potencialmente perigosas, como
rewrite-target, até que a atualização seja aplicada. - Monitore Logs: Monitore os logs do Ingress-Nginx em busca de atividades suspeitas, como tentativas de injeção de configuração.
- Revise as Permissões: Avalie e restrinja as permissões concedidas ao controlador Ingress-Nginx, seguindo o princípio do menor privilégio.
- Realize Testes de Penetração: Realize testes de penetração regulares para identificar e corrigir vulnerabilidades em sua infraestrutura Kubernetes.
