Ingress-NGINX 准入控制器 v1.11.1 发现严重 RCE 漏洞

Ingress-NGINX 准入控制器中的严重远程代码执行漏洞

安全研究人员近日在 Ingress-NGINX 准入控制器版本 1.11.1 中发现一个严重漏洞，该漏洞允许通过 文件描述符（FD）注入 实现 远程代码执行（RCE）。该漏洞已被收录于 Exploit-DB ID 52475，对使用该组件的 Kubernetes 环境构成重大安全风险。

漏洞技术细节

该漏洞源于准入控制器在处理文件描述符时存在缺陷，攻击者可通过注入恶意文件描述符进入进程。这种操作可能导致以受影响服务的权限执行任意代码。该漏洞的严重性主要体现在以下几个方面：

• 远程可利用性：攻击者无需本地访问即可触发该漏洞。
• 权限提升潜力：成功利用后可能获得 Kubernetes 集群的控制权。
• 低攻击复杂度：该漏洞无需高级技术即可被利用，增加了大规模攻击的可能性。

目前，该漏洞尚未分配 CVE ID，但安全团队应密切关注 Ingress-NGINX 项目的官方公告以获取最新信息。

影响分析

该 RCE 漏洞对使用 Ingress-NGINX 准入控制器 v1.11.1 的组织构成 高危风险。可能造成的后果包括：

• 未授权集群访问：攻击者可能控制 Kubernetes 工作负载，导致数据泄露或服务中断。
• 横向移动：被攻陷的控制器可能成为网络内进一步攻击的入口。
• 合规违规：未修补的系统可能无法满足容器编排安全的监管要求。

安全团队建议措施

1. 立即部署补丁：一旦发布修复版本，立即升级至 Ingress-NGINX 准入控制器的最新稳定版本。
2. 网络隔离：将准入控制器与不可信网络隔离，限制暴露风险。
3. 监控与检测：部署入侵检测系统（IDS）以识别可疑的文件描述符活动或未经授权的进程执行。
4. 访问控制：限制准入控制器的权限，最大程度减少潜在攻击造成的损害。
5. 事件响应规划：为潜在的 RCE 事件准备遏制和恢复流程。

由于该漏洞具有 远程可利用性 和对 Kubernetes 安全的 高影响性，安全团队应优先处理。关注 Exploit-DB 以获取技术概念验证细节及 Ingress-NGINX 维护者的最新更新。