安全更新：公开暴露的Ingress NGINX准入控制器

在广泛使用的Kubernetes入口控制器ingress-nginx中发现了一系列被称为IngressNightmare（CVE-2025-1097、CVE-2025-1098、CVE-2025-24514、CVE-2025-1974）的漏洞。当这些漏洞被组合利用时，攻击者可以通过验证准入控制器进行配置注入。Pod网络上的未认证远程攻击者可利用此漏洞未授权访问敏感数据（包括Kubernetes Secrets），甚至完全接管集群。

受影响产品

Kubernetes Ingress NGINX控制器是一个广泛使用的组件，负责将外部流量路由到集群服务。它包含一个准入控制器，通过审查配置并在批准前确保其正确性来验证传入的ingress对象。该控制器具有重要特权，因为它需要访问整个集群的资源。

所有版本的ingress-nginx都可能存在漏洞。该问题已在1.12.1和1.11.5版本中修复。

漏洞详情

CVE-2025-1974源于ingress-nginx验证准入控制器中的配置注入漏洞。结合其他漏洞（CVE-2025-24513、CVE-2025-24514、CVE-2025-1097、CVE-2025-1098），Pod网络上的攻击者可以未授权访问Kubernetes Secrets，并可能接管整个集群。

检测方法

Detectify表面监控客户可以测试是否暴露了ingress NGINX准入控制器，这将启用漏洞利用链。

Detectify发布的漏洞评估通过分析TLS证书来识别暴露的Ingress NGINX准入控制器。该评估具有高可靠性，因为Kubernetes使用自签名证书运行，评估会查找颁发者为"O=nil1"、主题为"O=nil2"且SAN包含"ingress-nginx-controller-admission"的证书。

缓解措施

• 升级到ingress-nginx 1.12.1或1.11.5版本
• 如果无法立即打补丁，请禁用验证准入控制器：
  • 对于Helm安装：设置controller.admissionWebhooks.enabled=false
  • 对于手动安装：删除名为ingress-nginx-admission的ValidatingWebhookconfiguration，并从ingress-nginx-controller Deployment或DaemonSet参数中移除–validating-webhook
• 升级后记得重新启用验证准入控制器

补丁可用性

该漏洞已在ingress-nginx 1.12.1和1.11.5版本中修复。强烈建议用户更新到这些版本或应用提供的缓解措施。

客户可以在"Detectify最新动态"产品日志中查找更新。任何问题都可以咨询客户成功代表或支持团队。如果您还不是客户，请点击此处注册演示或免费试用，立即开始扫描。