Kubernetes Ingress NGINX 控制器严重安全漏洞被披露

HackerNews 编译，转载请注明出处：

云安全公司Wiz披露了Kubernetes Ingress NGINX控制器中存在的一组五个严重安全漏洞，这些漏洞可能导致无认证的远程代码执行，使超过6500个集群面临风险，因为该组件暴露在公共互联网上。

这些漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098和CVE-2025-1974）被统称为IngressNightmare，CVSS评分为9.8。值得注意的是，这些缺陷不影响NGINX Ingress控制器，后者是NGINX和NGINX Plus的另一种Ingress控制器实现。

“利用这些漏洞，攻击者可以未经授权访问Kubernetes集群中所有命名空间中存储的所有机密，可能导致集群被接管，”该公司在一份与The Hacker News共享的报告中表示。

IngressNightmare主要影响Kubernetes Ingress NGINX控制器的准入控制器组件。大约43%的云环境容易受到这些漏洞的影响。

Ingress NGINX控制器使用NGINX作为反向代理和负载均衡器，使其能够将HTTP和HTTPS路由从集群外部暴露给内部服务。

该漏洞利用了部署在Kubernetes pod中的准入控制器在没有认证的情况下可通过网络访问的事实。

具体来说，它涉及通过直接向准入控制器发送恶意Ingress对象（也称为AdmissionReview请求），远程注入任意NGINX配置，从而在Ingress NGINX控制器的pod上执行代码。

“准入控制器的高权限和不受限制的网络可访问性创建了一个关键的升级路径，”Wiz解释道。“利用这个缺陷，攻击者可以执行任意代码并访问所有跨命名空间的集群机密，这可能导致完整的集群接管。”

这些缺陷如下：

• CVE-2025-24513（CVSS评分：4.8）——一个不正确的输入验证漏洞，可能导致容器内的目录遍历，结合其他漏洞可能导致拒绝服务（DoS）或有限的集群机密对象披露
• CVE-2025-24514（CVSS评分：8.8）——auth-url Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密
• CVE-2025-1097（CVSS评分：8.8）——auth-tls-match-cn Ingress注解可用于将配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密
• CVE-2025-1098（CVSS评分：8.8）——mirror-target和mirror-host Ingress注解可用于将任意配置注入NGINX，导致在ingress-nginx控制器上下文中执行任意代码并披露控制器可访问的机密
• CVE-2025-1974（CVSS评分：9.8）——无需凭据或管理访问权限即可实现集群接管

该请求包含上述配置指令注入之一，导致共享库被加载，从而实现远程代码执行。

Wiz的云安全研究员Hillai Ben-Sasson告诉The Hacker News，攻击链本质上涉及注入恶意配置，并利用它读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强服务账户以读取Kubernetes机密并最终促进集群接管。

在一份独立的咨询报告中，Kubernetes安全响应委员会表示，除了CVE-2025-1974之外的所有漏洞都涉及改进Ingress NGINX处理某些配置参数的方式。另一方面，CVE-2025-1974可以与其他漏洞结合，无需凭据或管理访问权限即可实现集群接管。

在负责任地披露后，这些漏洞已在Ingress NGINX Controller版本1.12.1、1.11.5和1.10.7中得到修复。

建议用户尽快更新到最新版本，并确保准入网络钩子端点不被外部暴露。

作为缓解措施，建议仅允许Kubernetes API服务器访问准入控制器，并在不需要时暂时禁用准入控制器组件。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文