2025年3月,Kubernetes Ingress-NGINX 控制器中披露了一组严重的漏洞,统称为 IngressNightmare。这些漏洞,特别是 CVE-2025–1974,带来了重大的安全风险,包括可能导致未经身份验证的远程代码执行 (RCE) 和整个集群被攻陷。本文深入探讨了这些漏洞的性质、影响以及缓解它们所需的关键步骤。
理解 Ingress-NGINX 控制器
Ingress-NGINX 控制器是 Kubernetes 环境中广泛采用的组件,它通过充当反向代理和负载均衡器,方便从外部访问集群内的服务。它解析 Ingress 资源规范,将 HTTP 和 HTTPS 流量路由到相应的后端服务。鉴于其在管理外部流量方面的关键作用,此控制器中的任何安全漏洞都可能产生深远的影响。
IngressNightmare 漏洞
IngressNightmare 漏洞集包含多个漏洞,其中 CVE-2025–1974 最为严重。此特定漏洞允许能够访问准入控制器的未经身份验证的攻击者执行任意代码,从而可能导致集群凭证泄露、服务中断乃至整个集群的控制权旁落。攻击者可以利用此漏洞绕过验证机制,注入恶意配置,最终在控制器容器内执行任意系统命令。FINISHED CSD0tFqvECLokhw9aBeRqpyajz38/36vBUAZ/llQp2G8JeIfA3H94mGq/0nDnpRTRMl1ueo8+ROCvmwpcWSp2MmpRRGeXJ/fJY+sW7H7TnnUYAQgbwte4sCOTZM15d3CnBiLVSM4X2xQ9NNCpoc3C7WCEKaTbCNtW/bXsEXfzxU=
