Ingress NGINX Controller 是 Kubernetes 生态系统中广泛使用的入口控制器,基于 NGINX 反向代理,用于管理外部流量并将其路由到 Kubernetes 服务。
2025年3月,Wiz Research 团队发现并披露了一组未经身份验证的远程代码执行(RCE)漏洞(统称为 IngressNightmare,包括 CVE-2025-1097、CVE-2025-1098、CVE-2025-24514 和 CVE-2025-1974)。
这些漏洞影响 Ingress NGINX Controller 的准入控制器组件(Admission Controller)。成功利用这些漏洞的攻击者可获取 Kubernetes 集群中所有命名空间的敏感数据(如凭据和密钥),并可能完全接管集群。
漏洞成因
利用条件
需要可同时访问准入控制器(默认不对外开放)和 Nginx 服务。
漏洞影响
获取敏感数据:攻击者可访问所有命名空间中的密钥数据,包括用户凭据和访问令牌。
远程代码执行(RCE):攻击者可在 Ingress NGINX Controller 的 Pod 上执行任意代码,因其是高权限角色,可能导致集群完全失控。
处置优先级:高
漏洞类型:远程代码执行
漏洞危害等级:高
触发方式:网络远程
权限认证要求:无需权限
系统配置要求:需配置准入控制器对外开放(默认仅限集群内部访问)
用户交互要求:无需用户交互
利用成熟度:POC已公开
修复复杂度:低,官方已发布新版本修复漏洞
Ingress NGINX Controller < 1.11.5
Ingress NGINX Controller < 1.12.1
临时缓解方案
在无法立即升级的情况下,可考虑限制准入控制器仅允许 Kubernetes API 服务器访问。
升级修复方案
官方修复版本:
- Ingress NGINX Controller 1.11.5
- Ingress NGINX Controller 1.12.1
可从 GitHub 或官方 Helm 仓库下载最新版本并重新部署。
原文始发于微信公众号(长亭安全应急响应中心):【已复现】Ingress NGINX Controller 远程代码执行漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论