K8s曝9.8分漏洞，你的云原生还安全吗？

该漏洞的核心入口Ingress-nginx是一个K8s用来管理流量和映射的控制器，通常不允许对外暴露，默认端口为8443，2024年12月31日发布的1.12.0版本和1.11.4及以前版本均受影响，如果暴露并使用了这个控制器，就会满足远程命令执行漏洞的利用条件。

可先用以下命令确认K8s是否使用了ingress-nginx控制器：

再输入下列命令查看ingress-nginx的版本：

若当前版本在受影响范围内，则可能存在安全风险。

绿盟科技外部攻击面管理服务（EASM）在漏洞预警发出后，第一时间已具备该漏洞的检测能力，用户可通过以下方式发起资产及漏洞筛查：

1. 受影响资产发现：快速定位暴露的Kubernetes服务

2. 漏洞扫描：验证风险，提供修复依据

· 漏洞扫描：基于客户授权，进行漏洞扫描，云端安全专家验证漏洞可利用性，并提供修复建议。

1）在EASM门户进行扫描授权，平台自动调用EZ工具启动漏洞扫描任务

2）人工验证后，扫描结果同步至租户门户，用户实时追踪风险详情

· 报告与预警：EASM自动通过微信公众号、邮件、短信向客户进行预警，并提供详细的服务监测报告。

绿盟持续威胁暴露管理平台（CTEM）可以主动+被动方式进行K8s相关资产和CVE-2025-1974漏洞风险的发现和排查：

1、可支持直接匹配K8s的资产名称和版本：

2、可通过下发配置核查任务，检查ingress-nginx配置文件中的Admission Controller是否对外暴露：

3、可通过调用PoC进行漏洞扫描：

绿盟持续威胁暴露管理平台（CTEM），其主要设计目标是在漏洞管理的基础上升级攻击面管理，从被动响应转变为主动对内外部资产持续监控、动态分析和风险评估。以脆弱性管理为基础，通过适配器纳入内外部资产测绘、风险暴露面管理、敏感数据泄露监控、主动被动资产与风险识别等能力，带来全流程、全视角的多源攻击面管理新方案。

绿盟外部攻击面管理服务(EASM)是一款集泛资产普查、攻击触点识别、攻击面分析、风险预警为一体的SaaS服务。服务以攻击者视角监控本级单位、分支机构、供应链暴露在互联网侧的泛资产及其关联的外部攻击触点。同时，系统自动结合知识图谱，主动映射攻击面，分析并预测易被网络犯罪分子利用的安全风险，并及时进行风险预警，辅助组织完成风险处置闭环。

目前绿盟持续威胁暴露管理平台（CTEM）和绿盟外部攻击面管理服务(EASM)已具备Kubernetes Ingress-nginx远程代码执行漏洞(CVE-2025-1974)检测能力，如需试用，请扫描下图的二维码申请：