云安全公司 Wiz 发现了 Ingress-Nginx Controller 的准入控制器组件存在严重漏洞,可能导致 Kubernetes 集群被完全接管。据估计,互联网上超过 6,000 个部署实例正面临风险。
Kubernetes (K8s) 集群经常需要向外部开放 HTTP/S 流量,以允许外部访问其运行的应用程序。虽然将集群准入控制器暴露在外似乎并不明智,但事实上已有数千个准入控制器可以从外部访问。
在 Kubernetes 术语中,允许外部流量访问集群被称为 ingress。处理 ingress 的规则定义在 ingress 对象中,并由 ingress 控制器处理。
正如 Kubernetes 团队成员 Tabitha Sable 周一所解释的:"ingress 控制器使用这个定义 (ingress 对象) 来根据用户的特定情况和需求设置本地或云资源。"
"Ingress-Nginx 将 ingress 对象的要求转换为 Nginx 的配置,Nginx 是一个强大的开源 Web 服务器守护进程," Sable 补充道。
"然后,Nginx 使用这些配置来接受请求并将其路由到 Kubernetes 集群中运行的各个应用程序。正确处理这些 Nginx 配置参数至关重要,因为 Ingress-Nginx 需要在允许用户获得足够灵活性的同时,防止他们意外或故意误导 Nginx 做出不当行为。"
但现在看来 Ingress-Nginx 并没有妥善处理这些配置。
根据 Wiz 研究人员的说法,处理配置是 Ingress-Nginx 准入控制器的工作。
"当 Ingress-Nginx 准入控制器处理传入的 ingress 对象时,它会从中构建 Nginx 配置,然后使用 Nginx 二进制文件进行验证," Wiz 的研究人员写道。"我们团队在这个阶段发现了一个漏洞,通过直接向准入控制器发送恶意 ingress 对象,可以远程注入任意 Nginx 配置。"
这意味着攻击者只需能够访问到易受攻击的 Ingress-Nginx 准入控制器,就可以实施 Wiz 本周描述的攻击。
当准入控制器尝试验证恶意 ingress 对象时,"注入的 Nginx 配置会导致 Nginx 验证器执行代码,从而在 Ingress-Nginx Controller 的 pod 上实现远程代码执行 (RCE)。"
更糟糕的是,准入控制器具有较高的权限和不受限制的网络访问能力。因此,通过 Nginx 验证器执行的恶意软件可能会造成严重破坏。
"利用这个漏洞,攻击者可以执行任意代码并跨命名空间访问所有集群机密,从而可能导致完全接管集群," Wiz 的研究人员写道。
即将被 Google 收购的 Wiz 公司认为,超过 6,500 个公开访问的 Kubernetes 安装暴露了易受攻击的准入控制器,其中一些由财富 500 强公司运营。这些显然不可能都是蜜罐。
五个漏洞,修复可用,可采取临时措施
好消息是,Wiz 已在 2024 年 12 月和 2025 年 1 月向 Kubernetes 开发团队披露了这些问题。针对五个 CVE(被 Wiz 统称为 IngressNightmare)的修复已于 3 月 10 日发布,详细信息此前处于保密状态。
Nginx Controller 版本 1.12.1 和 1.11.5 修复了这些漏洞。
坏消息是,并非所有 Kubernetes 用户都会及时响应安全通知。而五个漏洞中最严重的 CVE-2025-1974 在十分制的通用漏洞评分系统 (CVSS) 中得分高达 9.8 分。
其他漏洞同样值得关注: CVE-2025-1097、CVE-2025-1098 和 CVE-2025-24514 均rated 为 8.8 分。 第五个漏洞 CVE-2025-24513 得分为 4.8 分。
现在这些漏洞已公开,Wiz 建议尽快升级,但也认识到并非所有人都能做到,因为 K8s 集群运行着关键任务应用,不能轻易停机修复。
如果您处于这种情况,Wiz 建议实施严格的网络策略,只允许 Kubernetes API Server 访问准入控制器,并暂时禁用 Ingress-Nginx 的准入控制器组件。
好文章,需要你的鼓励
OpenAI首席执行官Sam Altman表示,鉴于投资者的AI炒作和大量资本支出,我们目前正处于AI泡沫中。他承认投资者对AI过度兴奋,但仍认为AI是长期以来最重要的技术。ChatGPT目前拥有7亿周活跃用户,是全球第五大网站。由于服务器容量不足,OpenAI无法发布已开发的更好模型,计划在不久的将来投资万亿美元建设数据中心。
阿里巴巴团队提出FantasyTalking2,通过创新的多专家协作框架TLPO解决音频驱动人像动画中动作自然度、唇同步和视觉质量的优化冲突问题。该方法构建智能评委Talking-Critic和41万样本数据集,训练三个专业模块分别优化不同维度,再通过时间步-层级自适应融合实现协调。实验显示全面超越现有技术,用户评价提升超12%。
英伟达推出新的小型语言模型Nemotron-Nano-9B-v2,拥有90亿参数,在同类基准测试中表现最佳。该模型采用Mamba-Transformer混合架构,支持多语言处理和代码生成,可在单个A10 GPU上运行。独特的可切换推理功能允许用户通过控制令牌开启或关闭AI推理过程,并可管理推理预算以平衡准确性和延迟。模型基于合成数据集训练,采用企业友好的开源许可协议,支持商业化使用。
UC Berkeley团队提出XQUANT技术,通过存储输入激活X而非传统KV缓存来突破AI推理的内存瓶颈。该方法能将内存使用量减少至1/7.7,升级版XQUANT-CL更可实现12.5倍节省,同时几乎不影响模型性能。研究针对现代AI模型特点进行优化,为在有限硬件资源下运行更强大AI模型提供了新思路。