针对 Kubernetes Ingress-NGINX 控制器中一个被追踪为 CVE-2025-1974 的严重远程代码执行漏洞的概念验证(PoC)攻击方法已出现。
由 WiZ 发现的这个漏洞影响了验证 Webhook 组件,可能会让攻击者在受影响的系统上执行任意代码,甚至有可能危及整个 Kubernetes 集群的安全。
该漏洞影响 Ingress-NGINX 控制器 v1.11.3 版本以及可能更早的版本。
它的攻击目标是运行在 8443 端口的验证 Webhook 服务器,该服务器负责在将 Ingress 资源部署到集群之前对其进行验证和处理。
在一个受控的 Minikube 环境设置中所展示的这个漏洞,说明了恶意行为者是如何绕过安全措施并在基础系统上运行命令的。
鉴于 Ingress-NGINX 是 Kubernetes 系统中使用最为广泛的入口控制器之一,这个漏洞尤其值得关注。各组织机构应立即更新其部署的相关软件。
概念验证演示
这种攻击利用了控制器的验证 Webhook 功能。概念验证表明,攻击者可以访问 Webhook 服务器,并发送一个精心构造的包含恶意 Nginx 配置的准入请求(AdmissionRequest)。
该漏洞之所以存在,是因为控制器的 CheckIngress 函数会执行,这就通过被篡改的配置文件为命令注入创造了机会。
一个概念验证(PoC)已在 GitHub 上发布,它展示了如何部署一个存在漏洞的 Pod。
可以通过检查 Pod 的规格来识别存在漏洞的控制器,尤其要查找那些使用 8443 端口上的验证 Webhook 的控制器。当执行攻击时,控制器日志会显示对潜在恶意配置的验证成功。
影响及缓解措施
该漏洞使得攻击者能够注入恶意配置,并有可能通过操纵准入审查(AdmissionReview)请求来实现远程代码执行。
运行受影响的 Ingress-NGINX 控制器的组织机构应该:
1.立即升级到最新的已打补丁的版本。
2.实施网络策略,限制对验证 Webhook 的访问。
3.监控控制器日志,查看是否存在可疑的准入请求(AdmissionRequest)活动。
4.如果无法立即打补丁,可以考虑暂时禁用验证 Webhook。
Kubernetes 安全特别兴趣小组(SIG)已经确认了该漏洞,并正在与 Ingress-NGINX 的维护者合作,以确保提供正确的补丁和缓解指导。
这次攻击凸显了在 Kubernetes 环境中进行密切监控和及时打补丁的重要性,尤其是对于像入口控制器这类处理外部输入的组件来说更是如此。
发表评论
您还未登录,请先登录。
登录