Instituto Nacional de ciberseguridad. Sección Incibe

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Un nuevo aviso de seguridad y una actualización

Índice

  • [Actualización 27/03/2025] Ejecución remota de código en Ingress NGINX de Kubernetes
  • Múltiples vulnerabilidades en Moodle

[Actualización 27/03/2025] Ejecución remota de código en Ingress NGINX de Kubernetes

Fecha25/03/2025
Importancia5 - Crítica
Recursos Afectados

Controlador Ingress NGINX versiones:

  • anteriores a 1.11.0;
  • desde 1.11.0 hasta 1.11.4;
  • 1.12.0.

Nota: Amazon Elastic Kubernetes Service (Amazon EKS) no proporciona ni instala el controlador Ingress NGINX por lo que no se ve afectado por estos problemas.

Descripción

El equipo de investigación de Wiz ha descubierto 5 vulnerabilidades: una se severidad crítica, 3 altas y una media en el controlador Ingress NGINX, un proyecto para Kubernetes, las cuales podrían permitir ejecución remota de código sin necesidad de autenticación y acceso a los información confidencial en todos los espacios de nombres del clúster.

Solución

Actualizar a las versiones  1.12.1 y 1.11.5.

Si esto no fuera posible:

  • Limitar el acceso de red al webhook de validación de ingress-nginx, este webhook solamente debe ser accesible por el servidor de API de K8s, cualquier otro acceso debe considerarse como no confiable.
  • Desactivar la característica Validating Admission Controller de ingress-nginx.
    • Si se ha instalado ingress-nginx mediante Helm, esto se puede hacer reinstalando estableciendo el valor de Helm: controller.admissionWebhooks.enabled=false.
    • Si se ha instalado manualmente, eliminando la ValidatingWebhookconfiguration llamada ingress-nginx-admission.
    • Editando el Daemonset o Deployment de ingress-nginx-controller eliminando el parámetro --validating-webhook de la lista de argumentos del contenedor del controlador.

En caso de no tener instalado ingress-nginx en el clúster, este no se verá afectado. Para comprobarlo, ejecutar: kubectl get pods --all-namespaces --selector app.kubernetes.io/name=ingress-nginx.

Detalle

La vulnerabilidad de severidad crítica, CVE-2025-1974, afecta al componente Ingress NGINX Controller, un componente clave de Kubernetes que gestiona el tráfico hacia los servicios internos. El webhook vulnerable es accesible desde cualquier dispositivo dentro del clúster sin necesidad de autenticación. Un atacante, no autenticado, con acceso a la red de pods puede ejecutar código arbitrario en el contexto del controlador Ingress NGINX. Esto podría provocar la divulgación de secretos accesibles al controlador en todos los espacios de nombres del clúster.

Las vulnerabilidades de severidad alta podrían usarse para inyectar configuración en nginx. Afectando a los siguientes parámetros:

  • CVE-2025-24514 afecta a la anotación auth-url.
  • CVE-2025-1098 afecta a mirror-target y mirror-host.
  • CVE-2025-1097 afecta a auth-tls-match-cn.

Para la vulnerabilidad de severidad media se ha asignado el identificador CVE-2025-24513.

Múltiples vulnerabilidades en Moodle

Fecha27/03/2025
Importancia4 - Alta
Recursos Afectados

Moodle versiones:

  • 4.5 a 4.5.2;
  • 4.4 a 4.4.6;
  • 4.3 a 4.3.10;
  • 4.1 a 4.1.14;
  • versiones anteriores sin soporte.
Descripción

Lucas Alonso e Ilya Tregubov han descubierto dos vulnerabilidades en Moodle, una de severidad menor y otra seria que, de ser explotadas, podrían permitir el acceso a información personal de los usuarios y permitir a los usuarios ver grados para los que no tienen permisos.

Solución

Actualizar a la versión correspondiente de Moodle, según la afectada:

  • 4.5.3;
  • 4.4.7;
  • 4.3.11;
  • 4.1.17.

En el caso de la vulnerabilidad de severidad seria y que, en principio, únicamente afecta a la versión 4.5.x de Moodle, se recomienda:

  • Configurar de forma inmediata zend.exception_ignore_args = 'On' en la configuración de PHP. Debería permanecer así, incluso, después de la actualización.
  • Aplicar el parche lo antes posible.
  • Considerar la opción de obligar a todos los usuarios a modificar su contraseña. Esto se puede lograr mediante la opción de 'Forzar el cambio de contraseña' (force password change) en Bulk user actions.
  • Valorar también activar las siguientes opciones, autenticación multifactor y peppers en las contraseñas.

Para comprobar si el sitio es vulnerable, los administradores deben seguir estos pasos:

  1. Comprobar si se está ejecutando una versión vulnerable (4.5.x):
    1. Acceder como Admin y navegar a: Site administration > General > Notifications.
    2. Comprobar la versión del sitio al final de la página.
  2. Verificar si PHP tiene deshabilitado zend.exception_ignore_args:
    1. Acceder como Admin y navegar a: Site administration > Server > PHP Info.
    2. Buscar 'zend.exception_ignore_args'.
    3. Si el valor está desactivado (off), es susceptible de estar afectado. Si está activo (on o 1), no es susceptible.
    4. En caso de no poder acceder a la pantalla de PHP Info en el servidor web, comprobar si la configuración de php.ini contiene zend.exception_ignore_args = 'On' o zend.exception_ignore_args = 1. Si no están ninguno de estos dos parámetros, entonces el sistema sí es vulnerable.
Detalle

En Moodle, en determinadas situaciones y cuando se produce un error, los datos del usuario pueden quedar expuestos. Para ello, es preciso que se esté ejecutando Moodle 4.5.x, que no esté habilitado el parámetro zend.exception_ignore_args y que se emplee el sistema de autenticación interno de Moodle.

Aún no se ha asignado ningún CVE a esta vulnerabilidad.

Los detalles de la vulnerabilidad de severidad menor se pueden consultar en las referencias.