2025 年 3 月 24 日,ingress-nginx 维护人员发布了针对多个漏洞的修复程序,这些漏洞可能允许威胁行为者接管 Kubernetes 集群。Ingress 是 Kubernetes 的一项功能,它定义了工作负载 Pod 如何暴露给网络,而 Ingress Controller 通过配置必要的本地或云资源来实施这些规则。根据 Kubernetes 的说法,超过 40% 的 Kubernetes 集群都部署了 ingress-nginx。
最严重的漏洞 CVE-2025-1974 是一个严重漏洞,允许未经身份验证的威胁行为者访问 Pod 网络,从而实现远程代码执行 (RCE)。该问题源于 ingress-nginx 中的验证准入控制器功能,默认情况下,准入控制器无需身份验证即可通过网络访问。这允许威胁行为者通过将恶意 Ingress 对象直接发送到准入控制器来注入任意 NGINX 配置。
利用 CVE-2025-1974 的威胁者可以利用 Pod 网络上的配置注入漏洞,从而控制 Kubernetes 集群。Pod 网络上的任何内容都可以利用此漏洞,当与其他不太严重的漏洞(CVE-2025-1097、CVE-2025-1098 和 CVE-2025-24514)结合使用时,它可以提供完全入侵集群所需的访问权限,而无需凭证或管理权限。
针对 CVE-2025-1974 的建议
升级至最新修复版本
Arctic Wolf 强烈建议客户升级到最新的修复版本。
请遵循您所在组织的修补和测试指南,以最大限度地减少潜在的运营影响。
解决方法(可选)
对于无法立即升级的用户,Kubernetes 建议关闭 ingress-nginx 的 Validating Admission Controller 功能。有关此操作的说明,请参阅Kubernetes 安全响应委员会文章https://kubernetes.io/blog/2025/03/24/ingress-nginx-cve-2025-1974/。
要检查您的集群是否正在使用 ingress-nginx,Kubernetes 建议使用集群管理员权限运行以下命令:kubectl get pods –all-namespaces –selector app.kubernetes.io/name=ingress-nginx
