Resumen del Aviso de Seguridad de Kubernetes del 24 de marzo de 2025
El 24 de marzo de 2025, Kubernetes emitió un aviso crítico para abordar serias vulnerabilidades en su controlador Ingress-Nginx. Las versiones afectadas son las anteriores a 1.11.5 y 1.12.1. Estas fallas de seguridad permiten la ejecución remota de código (RCE) no autenticado, lo que conlleva un acceso no autorizado a secretos dentro de los entornos de Kubernetes.
La gravedad de estas vulnerabilidades está reflejada en una calificación de 9.8 en el Sistema de Puntuación de Vulnerabilidad Común (CVSS), indicativa de su potencial impacto en la seguridad. Las vulnerabilidades están identificadas con los siguientes números de CVE: CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 y CVE-2025-1974.
Dada la criticidad de estas fallas, el Cyber Center ha instado a los usuarios y administradores a tomar medidas inmediatas. Se recomienda revisar los enlaces proporcionados en el aviso y realizar las actualizaciones necesarias para mitigar los riesgos. La falta de acción podría dar lugar a un alto riesgo de compromisos de seguridad, dada la capacidad de acceso que estas vulnerabilidades permiten a actores maliciosos.
Los administradores de Kubernetes deben estar especialmente atentos a estas actualizaciones y aplicar parches de seguridad para proteger sus entornos de posibles ataques. La recomendación es hacer una revisión exhaustiva de todas las implementaciones Ingress-Nginx y actualizar a las versiones seguras correspondientes.