云安全公司 Wiz 发现了 Ingress-Nginx Controller 的准入控制器组件存在严重漏洞,可能导致 Kubernetes 集群被完全接管。据估计,互联网上超过 6,000 个部署实例正面临风险。
Kubernetes (K8s) 集群经常需要向外部开放 HTTP/S 流量,以允许外部访问其运行的应用程序。虽然将集群准入控制器暴露在外似乎并不明智,但事实上已有数千个准入控制器可以从外部访问。
在 Kubernetes 术语中,允许外部流量访问集群被称为 ingress。处理 ingress 的规则定义在 ingress 对象中,并由 ingress 控制器处理。
正如 Kubernetes 团队成员 Tabitha Sable 周一所解释的:"ingress 控制器使用这个定义 (ingress 对象) 来根据用户的特定情况和需求设置本地或云资源。"
"Ingress-Nginx 将 ingress 对象的要求转换为 Nginx 的配置,Nginx 是一个强大的开源 Web 服务器守护进程," Sable 补充道。
"然后,Nginx 使用这些配置来接受请求并将其路由到 Kubernetes 集群中运行的各个应用程序。正确处理这些 Nginx 配置参数至关重要,因为 Ingress-Nginx 需要在允许用户获得足够灵活性的同时,防止他们意外或故意误导 Nginx 做出不当行为。"
但现在看来 Ingress-Nginx 并没有妥善处理这些配置。
根据 Wiz 研究人员的说法,处理配置是 Ingress-Nginx 准入控制器的工作。
"当 Ingress-Nginx 准入控制器处理传入的 ingress 对象时,它会从中构建 Nginx 配置,然后使用 Nginx 二进制文件进行验证," Wiz 的研究人员写道。"我们团队在这个阶段发现了一个漏洞,通过直接向准入控制器发送恶意 ingress 对象,可以远程注入任意 Nginx 配置。"
这意味着攻击者只需能够访问到易受攻击的 Ingress-Nginx 准入控制器,就可以实施 Wiz 本周描述的攻击。
当准入控制器尝试验证恶意 ingress 对象时,"注入的 Nginx 配置会导致 Nginx 验证器执行代码,从而在 Ingress-Nginx Controller 的 pod 上实现远程代码执行 (RCE)。"
更糟糕的是,准入控制器具有较高的权限和不受限制的网络访问能力。因此,通过 Nginx 验证器执行的恶意软件可能会造成严重破坏。
"利用这个漏洞,攻击者可以执行任意代码并跨命名空间访问所有集群机密,从而可能导致完全接管集群," Wiz 的研究人员写道。
即将被 Google 收购的 Wiz 公司认为,超过 6,500 个公开访问的 Kubernetes 安装暴露了易受攻击的准入控制器,其中一些由财富 500 强公司运营。这些显然不可能都是蜜罐。
五个漏洞,修复可用,可采取临时措施
好消息是,Wiz 已在 2024 年 12 月和 2025 年 1 月向 Kubernetes 开发团队披露了这些问题。针对五个 CVE(被 Wiz 统称为 IngressNightmare)的修复已于 3 月 10 日发布,详细信息此前处于保密状态。
Nginx Controller 版本 1.12.1 和 1.11.5 修复了这些漏洞。
坏消息是,并非所有 Kubernetes 用户都会及时响应安全通知。而五个漏洞中最严重的 CVE-2025-1974 在十分制的通用漏洞评分系统 (CVSS) 中得分高达 9.8 分。
其他漏洞同样值得关注: CVE-2025-1097、CVE-2025-1098 和 CVE-2025-24514 均rated 为 8.8 分。 第五个漏洞 CVE-2025-24513 得分为 4.8 分。
现在这些漏洞已公开,Wiz 建议尽快升级,但也认识到并非所有人都能做到,因为 K8s 集群运行着关键任务应用,不能轻易停机修复。
如果您处于这种情况,Wiz 建议实施严格的网络策略,只允许 Kubernetes API Server 访问准入控制器,并暂时禁用 Ingress-Nginx 的准入控制器组件。
