Ingress-Nginx 漏洞使公开的 Kubernetes 集群面临被接管风险

云安全公司 Wiz 发现了 Ingress-Nginx Controller 的准入控制器组件存在严重漏洞，可能导致 Kubernetes 集群被完全接管。据估计，互联网上超过 6,000 个部署实例正面临风险。

Kubernetes (K8s) 集群经常需要向外部开放 HTTP/S 流量，以允许外部访问其运行的应用程序。虽然将集群准入控制器暴露在外似乎并不明智，但事实上已有数千个准入控制器可以从外部访问。

在 Kubernetes 术语中，允许外部流量访问集群被称为 ingress。处理 ingress 的规则定义在 ingress 对象中，并由 ingress 控制器处理。

正如 Kubernetes 团队成员 Tabitha Sable 周一所解释的："ingress 控制器使用这个定义 (ingress 对象) 来根据用户的特定情况和需求设置本地或云资源。"

"Ingress-Nginx 将 ingress 对象的要求转换为 Nginx 的配置，Nginx 是一个强大的开源 Web 服务器守护进程，" Sable 补充道。

"然后，Nginx 使用这些配置来接受请求并将其路由到 Kubernetes 集群中运行的各个应用程序。正确处理这些 Nginx 配置参数至关重要，因为 Ingress-Nginx 需要在允许用户获得足够灵活性的同时，防止他们意外或故意误导 Nginx 做出不当行为。"

但现在看来 Ingress-Nginx 并没有妥善处理这些配置。

根据 Wiz 研究人员的说法，处理配置是 Ingress-Nginx 准入控制器的工作。

"当 Ingress-Nginx 准入控制器处理传入的 ingress 对象时，它会从中构建 Nginx 配置，然后使用 Nginx 二进制文件进行验证，" Wiz 的研究人员写道。"我们团队在这个阶段发现了一个漏洞，通过直接向准入控制器发送恶意 ingress 对象，可以远程注入任意 Nginx 配置。"

这意味着攻击者只需能够访问到易受攻击的 Ingress-Nginx 准入控制器，就可以实施 Wiz 本周描述的攻击。

当准入控制器尝试验证恶意 ingress 对象时，"注入的 Nginx 配置会导致 Nginx 验证器执行代码，从而在 Ingress-Nginx Controller 的 pod 上实现远程代码执行 (RCE)。"

更糟糕的是，准入控制器具有较高的权限和不受限制的网络访问能力。因此，通过 Nginx 验证器执行的恶意软件可能会造成严重破坏。

"利用这个漏洞，攻击者可以执行任意代码并跨命名空间访问所有集群机密，从而可能导致完全接管集群，" Wiz 的研究人员写道。

即将被 Google 收购的 Wiz 公司认为，超过 6,500 个公开访问的 Kubernetes 安装暴露了易受攻击的准入控制器，其中一些由财富 500 强公司运营。这些显然不可能都是蜜罐。

五个漏洞，修复可用，可采取临时措施

好消息是，Wiz 已在 2024 年 12 月和 2025 年 1 月向 Kubernetes 开发团队披露了这些问题。针对五个 CVE（被 Wiz 统称为 IngressNightmare）的修复已于 3 月 10 日发布，详细信息此前处于保密状态。

Nginx Controller 版本 1.12.1 和 1.11.5 修复了这些漏洞。

坏消息是，并非所有 Kubernetes 用户都会及时响应安全通知。而五个漏洞中最严重的 CVE-2025-1974 在十分制的通用漏洞评分系统 (CVSS) 中得分高达 9.8 分。

其他漏洞同样值得关注： CVE-2025-1097、CVE-2025-1098 和 CVE-2025-24514 均rated 为 8.8 分。 第五个漏洞 CVE-2025-24513 得分为 4.8 分。

现在这些漏洞已公开，Wiz 建议尽快升级，但也认识到并非所有人都能做到，因为 K8s 集群运行着关键任务应用，不能轻易停机修复。

如果您处于这种情况，Wiz 建议实施严格的网络策略，只允许 Kubernetes API Server 访问准入控制器，并暂时禁用 Ingress-Nginx 的准入控制器组件。