在用于 Kubernetes 的 Ingress NGINX Controller中,已披露了一组五个关键的安全缺陷。这些缺陷可能导致未经身份验证的远程代码执行,通过将该组件暴露在公共互联网上,使超过 6500 个集群立即面临风险。
这些漏洞(CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098 和 CVE-2025-1974 )的通用漏洞评分系统(CVSS)评分为 9.8,被云安全公司 Wiz 统称为 “IngressNightmare”。值得注意的是,这些缺陷不会影响 NGINX Ingress 控制器,后者是针对 NGINX 和 NGINX Plus 的另一种入口控制器实现。
该公司在与The Hacker News分享的一份报告中表示:“利用这些漏洞会导致攻击者未经授权访问存储在 Kubernetes 集群所有命名空间中的所有机密,这可能会导致集群被接管。”
从本质上讲,“IngressNightmare” 影响的是用于 Kubernetes 的 Ingress NGINX Controller的准入控制器组件。大约 43% 的云环境易受这些漏洞的影响。
Ingress NGINX Controller使用 NGINX 作为反向代理和负载均衡器,使得从集群外部暴露 HTTP 和 HTTPS 路由到集群内的服务成为可能。
该漏洞利用了这样一个事实,即部署在 Kubernetes Pod 内的准入控制器在网络上无需身份验证即可访问。
具体而言,它涉及通过直接向准入控制器发送恶意的入口对象(即准入审查请求)来远程注入任意的 NGINX 配置,从而在 Ingress NGINX Controller的 Pod 上实现代码执行。
Wiz 解释称:“准入控制器的高级权限和不受限制的网络可访问性创造了一条关键的权限提升路径。利用这一缺陷,攻击者可以执行任意代码并访问跨命名空间的所有集群机密,这可能会导致完全接管集群。”
1.CVE-2025-24513(CVSS 评分:4.8)—— 这是一种不当的输入验证漏洞,可能导致容器内的目录遍历。当与其他漏洞结合时,会导致拒绝服务(DoS)或集群中机密对象的有限泄露。
2.CVE-2025-24514(CVSS 评分:8.8)——auth-url 入口注释可用于将配置注入 NGINX,从而在 ingress-nginx 控制器的上下文中执行任意代码,并泄露该控制器可访问的机密。
3.CVE-2025-1097(CVSS 评分:8.8)——auth-tls-match-cn 入口注释可用于将配置注入 NGINX,从而在 ingress-nginx 控制器的上下文中执行任意代码,并泄露该控制器可访问的机密。
4.CVE-2025-1098(CVSS 评分:8.8)——mirror-target 和 mirror-host 入口注释可用于将任意配置注入 NGINX,从而在 ingress-nginx 控制器的上下文中执行任意代码,并泄露该控制器可访问的机密。
5.CVE-2025-1974(CVSS 评分:9.8)—— 在某些条件下,能够访问 Pod 网络的未经身份验证的攻击者可以在 ingress-nginx 控制器的上下文中实现任意代码执行。
在一个实验性的攻击场景中,威胁行为者可以利用 NGINX 的客户端主体缓冲区功能,以共享库的形式将恶意有效负载上传到 Pod,然后向准入控制器发送准入审查请求。
反过来,该请求包含上述配置指令注入之一,这会导致共享库被加载,从而有效地实现远程代码执行。
Wiz 的云安全研究员Hillai Ben-Sasson告诉The Hacker News,攻击链本质上涉及注入恶意配置,并利用它来读取敏感文件和运行任意代码。这随后可能会使攻击者滥用强大的服务账户来读取 Kubernetes 机密,并最终实现对集群的接管。
在进行了负责任的漏洞披露后,Ingress NGINX Controller的 1.12.1、1.11.5 和 1.10.7 版本已修复了这些漏洞。
建议用户尽快更新到最新版本,并确保准入 Webhook 端点不会暴露在外部。
作为缓解措施,建议仅允许 Kubernetes API 服务器访问准入控制器,如果不需要准入控制器组件,则暂时禁用它。
发表评论
您还未登录,请先登录。
登录