近期，安全研究机构披露Istio服务网格存在敏感信息泄露漏洞（CVE-2024-23648，CVSS评分7.5，高危）。该漏洞源于Istio控制平面与数据平面通信时，未对部分敏感配置数据进行加密处理，攻击者可通过监听Istio组件间的非加密通信流量，窃取服务密钥、API令牌、配置明文等核心信息，进而引发服务越权访问、数据泄露等严重风险。

　一、漏洞影响范围

　受影响版本：Istio 1.17.x 至 1.21.x 所有版本；

　不受影响版本：Istio 1.22.0 及以上版本、1.16.x 及以下版本（默认关闭漏洞相关功能）；

　影响组件：主要涉及 Istiod（控制平面核心组件）、Envoy 代理（数据平面组件）间的 xDS 协议通信链路。

　二、紧急防护措施

　1. 优先升级修复：立即将Istio版本升级至官方修复版本（1.22.0及以上），升级前需做好环境备份，避免影响业务正常运行；暂无法升级的用户，可参考Istio官方文档（https://istio.io/latest/docs/ops/security/vulnerabilities/），启用xDS通信加密配置（如启用mTLS加密xDS流量）。

　2. 强化流量监控：通过网络审计工具（如Wireshark、Prometheus+Grafana）监控Istiod与Envoy间的通信流量，排查是否存在异常监听行为，禁止非授权IP访问Istio组件通信端口（默认15010、15012）。

　3. 清理敏感配置：检查Istio配置中是否存在明文存储的密钥、令牌等信息，及时替换为加密存储方式（如结合Kubernetes Secrets管理敏感数据），并定期轮换已暴露的敏感凭证。

　三、应急处置建议

　若发现敏感信息可能已泄露，需立即：

　1. 吊销并重新生成所有可能泄露的服务密钥、API令牌；

　2. 排查业务系统日志，确认是否存在非授权访问记录；

　3. 若涉及用户数据泄露，需按法规要求及时向用户及监管部门报备。

　请各单位高度重视此次漏洞风险，于7个工作日内完成漏洞核查与修复，切实保障服务网格及业务系统安全。