Wiz 研究人员在 Kubernetes 的 Ingress NGINX Controller 中发现严重RCE漏洞

云安全巨头 Wiz 的研究人员发现一个可能导致 Kubernetes 集群遭受远程黑客攻击的严重漏洞，Wiz上周前被谷歌以320亿美元收购。

Kubernetes 是一个广泛使用的开源系统，用于管理跨多个主机的容器化应用程序。集群是一组运行此类应用程序的节点。

Wiz 发现的漏洞编号为：CVE-2025-1097、CVE-2025-1098、CVE-2025-24514 和 CVE-2025-1974，这些漏洞统称为IngressNightmare，漏洞影响 Kubernetes 的 Ingress NGINX Controller，它充当集群内的负载均衡器和反向代理。

“使用 Ingress-NGINX 是向外部公开 Kubernetes 应用程序的最常用方法之一。”Wiz 解释道。

具体来说，IngressNightmare 漏洞会影响准入控制器，该控制器会在部署传入的入口对象之前对其进行验证。准入控制器无需身份验证即可通过网络访问，这增加了攻击风险。

Wiz 表示，41% 面向互联网的集群正在运行 Ingress NGINX。 43% 的云环境中至少有一个易受攻击的实例，6,500 个集群（包括属于财富 500 强公司的集群）将易受攻击的准入控制器公开暴露在互联网上。

“当 Ingress-NGINX 准入控制器处理传入的入口对象时，它会从中构建 NGINX 配置，然后使用 NGINX 二进制文件对其进行验证。我们在此阶段发现了一个漏洞，该漏洞允许通过网络将恶意入口对象直接发送到准入控制器，从而远程注入任意 NGINX 配置。”Wiz 解释道。

在配置验证阶段，注入的 NGINX 配置会导致 NGINX 验证器执行代码，从而允许在 Ingress NGINX Controller 的 pod 上进行远程代码执行 (RCE)。

IngressNightmare 漏洞最终可能允许攻击者访问所有命名空间中存储的所有机密，并完全控制目标 Kubernetes 集群。

Wiz 研究主管称： “Ingress NGINX 是全球最大的企业和组织（从 AI 公司到财富 500 强企业）使用的关键基础设施组件。这使得假设情景变得极其严重。”

Kubernetes 是所有云环境的骨干，如果恶意攻击者接管这些集群，他们就能够访问和修改所有数据。其潜在影响几乎是无限的。

Wiz 于 2024 年 12 月下旬和 2025 年 1 月向 Kubernetes 报告了其发现。周一发布的Ingress NGINX Controller 版本 1.12.1 和 1.11.5应该可以修补这些漏洞。

用户应尽快更新，同时可以通过涉及准入控制器的缓解措施来降低被利用的风险：如果不需要则暂时禁用它，或者将对它的访问限制在 Kubernetes API 服务器上。

Kubernetes、Google Cloud和Microsoft已发布针对 IngressNightmare 漏洞的警告。

漏洞详情：

https://www.wiz.io/blog/ingress-nginx-kubernetes-vulnerabilities

官方漏洞公告：

https://github.com/kubernetes/website/blob/4763f1ccc2fd51c42d71d589094f5b1cbca3ed2c/content/en/blog/_posts/2025-03-24-ingress-nginx-CVE-2025-1974.md

新闻链接：

https://www.securityweek.com/ingressnightmare-flaws-expose-many-kubernetes-clusters-to-remote-hacking/

讲述普通人能听懂的安全故事