Ingress NGINX 控制器漏洞允许在无需身份验证的情况下进行 RCE

转至:thehackernews
编写:factor

2025 年 4 月 4 日
在这里插入图片描述
Kubernetes的Ingress NGINX 控制器中披露了五个严重的安全缺陷,可能导致未经身份验证的远程代码执行,并将组件暴露给公共互联网,使 6,500 多个集群面临直接风险。

这些漏洞(CVE-2025-24513CVE-2025-24514CVE-2025-1097CVE-2025-1098CVE-2025-1974)的 CVSS 评分为 9.8,被云安全公司 Wiz 统称为 IngressNightmare。值得注意的是,这些缺陷不会影响NGINX Ingress Controller,它是 NGINX 和 NGINX Plus 的另一个入口控制器实现。

该公司在与 The Hacker News 分享的一份报告中表示:“利用这些漏洞会导致攻击者未经授权访问 Kubernetes 集群中所有命名空间中存储的所有机密,从而导致集群接管。”

网络安全IngressNightmare 的核心影响的是Kubernetes 的 Ingress NGINX Controller 的准入控制器组件。大约 43% 的云环境容易受到这些漏洞的影响。

Ingress NGINX Controller 使用 NGINX 作为反向代理和负载均衡器,从而可以将集群外部的 HTTP 和 HTTPS 路由公开到集群内的服务。

该漏洞利用了这样一个事实:部署在 Kubernetes pod 内的准入控制器无需身份验证即可通过网络访问。

具体来说,它涉及通过直接向准入控制器发送恶意入口对象(又名 AdmissionReview 请求)来远程注入任意 NGINX 配置,从而导致在 Ingress NGINX Controller 的 pod 上执行代码。

“准入控制器的提升权限和不受限制的网络可访问性创建了一条关键的升级路径,”Wiz 解释道。“利用此漏洞允许攻击者执行任意代码并访问命名空间中的所有集群机密,这可能导致完全接管集群。”

缺点如下:

  • CVE-2025-24513(CVSS 评分:4.8) - 一种不正确的输入验证漏洞,可能导致容器内的目录遍历,与其他漏洞结合时会导致拒绝服务 (DoS) 或集群中机密对象的有限泄露
  • CVE-2025-24514(CVSS 评分:8.8)- auth-url Ingress 注释可用于将配置注入 NGINX,从而导致在 ingress-nginx 控制器上下文中执行任意代码,并泄露控制器可访问的机密信息
  • CVE-2025-1097(CVSS 评分:8.8)- auth-tls-match-cn Ingress 注释可用于将配置注入 NGINX,从而导致在 ingress-nginx 控制器上下文中执行任意代码,并泄露控制器可访问的机密信息
  • CVE-2025-1098(CVSS 评分:8.8)-mirror-target 和 mirror-host Ingress 注释可用于将任意配置注入 NGINX,从而导致在 ingress-nginx 控制器上下文中执行任意代码,并泄露控制器可访问的机密信息
  • CVE-2025-1974(CVSS 评分:9.8)——未经身份验证的攻击者可以访问 pod 网络,在特定条件下,在 ingress-nginx 控制器的上下文中实现任意代码执行
    在这里插入图片描述

在实验性攻击场景中,威胁行为者可以使用 NGINX 的客户端缓冲功能将恶意负载以共享库的形式上传到 pod,然后向准入控制器发送 AdmissionReview 请求。

反过来,该请求包含前面提到的配置指令注入之一,导致共享库被加载,从而有效地导致远程代码执行。

网络安全 Wiz 云安全研究员 Hillai Ben-Sasson 告诉 The Hacker News,攻击链本质上涉及注入恶意配置,并利用它来读取敏感文件和运行任意代码。这随后可能允许攻击者滥用强大的服务帐户来读取 Kubernetes 机密并最终实现集群接管。

在一份独立公告中,Kubernetes 安全响应委员会表示,除 CVE-2025-1974 之外的所有漏洞都与 Ingress NGINX 处理某些配置参数的方式的改进有关。另一方面,CVE-2025-1974 可以与其他漏洞结合使用,以促进集群接管,而无需凭证或管理访问权限。

经过负责任的披露,这些漏洞已在Ingress NGINX Controller版本 1.12.1、1.11.5 和 1.10.7 中得到解决。

建议用户尽快更新到最新版本,并确保admission webhook 端点不对外暴露。

作为临时措施,建议仅限制 Kubernetes API 服务器访问准入控制器,并在不需要时暂时禁用准入控制器组件。

# nginx # web安全 # 安全性测试 # 安全威胁分析 # 安全 # 网络安全
Logo
腾讯云开发者社区

腾讯云面向开发者汇聚海量精品云计算使用和开发经验,营造开放的云计算技术生态圈。

更多推荐

终极指南:Flink SQL连接器版本管理从混乱到有序的升级之路

Apache Flink作为流处理领域的佼佼者,其SQL连接器的版本管理一直是开发者面临的核心挑战。本文将系统讲解Flink SQL连接器版本管理的最佳实践,帮助你轻松应对版本兼容性问题,实现从混乱到有序的升级之旅。## 连接器版本管理的常见痛点 😫在Flink应用开发中,连接器版本管理常常让开发者头疼不已。不同版本的连接器可能导致各种兼容性问题,例如API变更、功能差异甚至运行时错误。

avatar 腾讯云开发者社区

Elasticsearch复杂数据类型终极指南:从入门到精通

Elasticsearch作为功能强大的搜索引擎,支持多种复杂数据类型,让开发者能够灵活处理各种结构化和非结构化数据。本文将带你全面了解Elasticsearch中的复杂数据类型,从基础概念到实际应用,助你轻松掌握数据建模的核心技巧。## 内部对象:构建层级化数据结构在Elasticsearch中,对象类型(Object)是最基础的复杂数据类型之一,用于表示具有嵌套关系的数据。例如,我们可

avatar 腾讯云开发者社区

如何快速搭建Neon无服务器PostgreSQL:面向初学者的完整指南

Neon是一款革命性的无服务器PostgreSQL解决方案,它通过分离存储和计算层,实现了自动扩缩容、类代码式数据库分支以及零级扩展能力。本指南将帮助你从零开始搭建Neon开发环境,体验这款创新数据库的强大功能。## 准备工作:环境要求与依赖项在开始搭建Neon环境前,请确保你的系统满足以下要求:- Linux操作系统(推荐Ubuntu 20.04+或Debian 11+)- Git

avatar 腾讯云开发者社区