Specialisti di Wiz Research hanno scoperto delle vulnerabilità su Ingress-Nginx per Kubernetes. I bug consentono a un aggressore di eseguire da remoto codice arbitrario e di ottenere il controllo completo del cluster. Gli esperti stimano che su Internet siano state scoperte più di 6.500 entry point vulnerabili, tra cui quelle di aziende Fortune 500.

I controller di Kubernetes fungono da collegamento tra il mondo esterno e le applicazioni all’interno del cluster. Elaborano oggetti in ingresso, ovvero regole che descrivono quale traffico HTTP/S esterno deve essere indirizzato e dove. Ingress-Nginx è uno dei controller più comuni basati sul server web Nginx. Converte automaticamente le descrizioni degli oggetti in ingresso nei file di configurazione Nginx e reindirizza il traffico ai servizi richiesti.

Questo vulnerabilità ha a che fare con il modo in cui Ingress-Nginx gestisce tali configurazioni. Il controllor è responsabile della verifica dei parametri di configurazione. Quando riceve un oggetto in ingresso, genera una configurazione Nginx e la passa al validatore per la verifica. È qui che è stato scoperto il bug: è possibile iniettare una configurazione dannosa che consentirà l’esecuzione di codice arbitrario direttamente all’interno del pod in cui è in esecuzione il controller.

Ciò che è particolarmente pericoloso è che il controller ha per impostazione predefinita ampi privilegi e accesso a tutti gli spazi dei nomi all’interno del cluster. Un attacco riuscito consente all’hacker non solo di eseguire il proprio codice, ma anche di ottenere l’accesso a tutti i segreti, compresi i dati sensibili delle applicazioni e dei componenti di sistema.

La vulnerabilità più pericolosa è il CVE-2025-1974 (Punteggio CVSS: 9,8). La falla consente l’esecuzione di codice remoto sul controller tramite un oggetto di ingresso appositamente creato. Altre vulnerabilità sono: CVE-2025-1097 , CVE-2025-1098 e il CVE-2025-24514 che hanno tutti punteggio CVSS di 8,8. Il problema “più semplice” è il CVE-2025-24513 con score CVSS: 4,8.

Alle vulnerabilità è stato dato il nome collettivo IngressNightmare. Wiz ha informato gli sviluppatori della scoperta alla fine del 2024. Le patch sono state rilasciate il 10 marzo 2025, ma i dettagli non sono stati ancora rivelati. Le versioni di Ingress-Nginx che hanno riscontrato problemi sono 1.12.1 e 1.11.5. disponibile per il download.

Esiste il rischio che non tutti gli amministratori aggiorneranno i propri cluster in tempo. Kubernetes viene spesso utilizzato per ospitare applicazioni aziendali critiche e l’aggiornamento dei componenti può rivelarsi un’attività complessa. In questi casi, Wiz consiglia di disabilitare temporaneamente il componente del controller di ammissione o di limitarne l’accesso tramite rete, consentendone l’accesso solo dal server API Kubernetes.

L'articolo IngressNightmare e Allarme Kubernetes: Bug Critici su Ingress-Nginx Espongono 6.500 Cluster! proviene da il blog della sicurezza informatica.

La Cybersecurity and Infrastructure Security Agency (CISA) ha emesso un avviso di sicurezza critico riguardante una vulnerabilità di bypass dell’autenticazione nei sistemi FortiOS e FortiProxy di Fortinet. La vulnerabilità, identificata come CVE-2025-24472, è attualmente sfruttata attivamente in campagne ransomware, rendendola una minaccia significativa per le organizzazioni che utilizzano questi prodotti.

Pertanto è importante assicurarsi che i prodotti Fortinet siano correttamente aggiornati e in caso contrario procedere con l’applicazione delle patch.

La falla di sicurezza, che ha ottenuto un punteggio CVSS di 8,1, consente ad aggressori remoti di ottenere privilegi di super amministratore attraverso richieste proxy CSF contraffatte, senza richiedere l’interazione dell’utente. Secondo l’avviso pubblicato da Fortinet: “Una vulnerabilità di bypass dell’autenticazione mediante un percorso o canale alternativo che interessa FortiOS e FortiProxy potrebbe consentire a un aggressore remoto di ottenere privilegi di super amministratore tramite richieste proxy CSF contraffatte.”

Versioni Interessate e implicazioni del bug di sicurezza

Questa vulnerabilità riguarda le seguenti versioni dei prodotti Fortinet:

• FortiOS: dalla versione 7.0.0 alla 7.0.16
• FortiProxy: dalla versione 7.0.0 alla 7.0.19 e dalla 7.2.0 alla 7.2.12

Uno sfruttamento riuscito di questa vulnerabilità potrebbe fornire agli attaccanti pieno accesso amministrativo ai sistemi compromessi. Le potenziali conseguenze includono:

• Creazione di account amministrativi non autorizzati
• Modifica delle policy del firewall
• Accesso non autorizzato alle VPN SSL, consentendo agli aggressori di infiltrarsi nelle reti interne

Questo livello di compromissione rende la vulnerabilità particolarmente pericolosa, soprattutto nel contesto delle operazioni ransomware.

Mitigazioni e Patch Disponibili

La CISA ha invitato tutte le organizzazioni a implementare immediatamente le misure di mitigazione suggerite dal fornitore. Fortinet ha rilasciato le seguenti patch per correggere la vulnerabilità:

• FortiOS: aggiornato alla versione 7.0.17 o successive
• FortiProxy: aggiornato alle versioni 7.0.20 o 7.2.13 o successive

Per le organizzazioni che non possono applicare subito l’aggiornamento, Fortinet raccomanda di:

• Disabilitare l’interfaccia amministrativa HTTP/HTTPS
• Implementare restrizioni basate su IP tramite policy di ingresso locale
• Monitorare i registri per individuare attività sospette, come accessi amministrativi inspiegabili o la creazione di account amministrativi con nomi utente casuali

L’Importanza del Catalogo KEV di CISA

La vulnerabilità CVE-2025-24472 è stata inserita nel catalogo KEV (Known Exploited Vulnerabilities) del CISA, una lista di vulnerabilità confermate come sfruttate attivamente. Il CISA raccomanda a tutte le organizzazioni di dare priorità alla correzione delle vulnerabilità presenti nel catalogo KEV per ridurre il rischio di compromissioni.

L’utilizzo del catalogo KEV come riferimento nella gestione delle vulnerabilità aiuta a identificare e risolvere tempestivamente le falle di sicurezza più critiche, proteggendo le infrastrutture IT da attacchi mirati.

L'articolo CISA: Fortinet FortiOS e FortiProxy sfruttati attivamente. Il Bug di Authentication Bypass finisce nel KEV proviene da il blog della sicurezza informatica.

Ieri sono stata al concerto di #CristianoDeAndré a #Locarno con mia mamma.
Come lascia facilmente intendere il nome del tour "De André canta De André", Cristiano ripercorre e tiene vive le canzoni di suo padre.
Certo, avrei tanto voluto sentire l'originale, ma è stato comunque emozionante, soprattutto per il fatto di essere lì con mia mamma, che finalmente riesce a prendersi un po' di tempo per sé.
Durante il concerto ha raccontato alcuni aneddoti, dei suoi ricordi personali e parlato degli arrangiamenti delle canzoni (a me personalmente sono piaciuti! 😊).
I miei momenti preferiti? Oltre al discorso sulla Palestina prima di "Disamistade", sicuramente "Smisurata Preghiera", "Nella mia ora di libertà" e "Un giudice".
Proprio su quest’ultima canzone ho io un aneddoto.
Quando eravamo piccoli e la mamma in auto ascoltava Non al denaro non all’amore né al cielo, noi aspettavamo trepidanti "Un giudice" solo per sghignazzare alla parola culo, che in quel periodo era vietata in casa nostra (così come altre parole volgari).
Lei, invece di sgridarci, ogni santa volta ci spiegava il messaggio della canzone e perché De André avesse scelto di usare proprio la parola che tanto ci faceva ridere.
Mia mamma ci ha sempre spiegato le canzoni che ascoltava: La locomotiva, Primavera di Praga, La Guerra di Piero e tante, tante altre.

Sempre ieri al corso di formazione FIDE abbiamo parlato di cosa ci muove e motiva a seguire la formazione e in generale nell'accogliere persone migranti.
Beh, la mia infanzia, signori. 🤷‍♀️

p.s. poche foto e brutte. perché odio stare ai concerti col cellulare in mano.