如何進(jìn)行Kong API網(wǎng)關(guān)未授權(quán)漏洞的通告
如何進(jìn)行Kong API網(wǎng)關(guān)未授權(quán)漏洞的通告,針對(duì)這個(gè)問(wèn)題�,這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答�����,希望可以幫助更多想解決這個(gè)問(wèn)題的小伙伴找到更簡(jiǎn)單易行的方法�����。
0x00 漏洞背景
2020年04月16日��, 360CERT監(jiān)測(cè)發(fā)現(xiàn) 業(yè)內(nèi)安全廠商 發(fā)布了 Kong Admin Restful API網(wǎng)關(guān)未授權(quán)漏洞 的風(fēng)險(xiǎn)通告�,該漏洞編號(hào)為 CVE-2020-11710,漏洞等級(jí):高危��。
Kong API 網(wǎng)關(guān) 是目前最受歡迎的云原生 API 網(wǎng)關(guān)之一�����,有開(kāi)源版和企業(yè)版兩個(gè)分支��,被廣泛應(yīng)用于云原生�����、微服務(wù)、分布式�、無(wú)服務(wù)云函數(shù)等場(chǎng)景的API接入中間件,為云原生應(yīng)用提供鑒權(quán)�,轉(zhuǎn)發(fā),負(fù)載均衡�����,監(jiān)控等能力��。
Kong API 網(wǎng)關(guān)管理員控制接口 存在 未授權(quán)訪問(wèn)漏洞�,攻擊者可以 通過(guò) Kong API 網(wǎng)關(guān)管理員控制接口,直接控制 API 網(wǎng)關(guān)并使其成為一個(gè)開(kāi)放性的流量代理�,從而訪問(wèn)到內(nèi)部的敏感服務(wù)。
對(duì)此�����,360CERT建議廣大用戶及時(shí)安裝最新補(bǔ)丁��,做好資產(chǎn)自查以及預(yù)防工作�����,以免遭受黑客攻擊�。
0x01 風(fēng)險(xiǎn)等級(jí)
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
| 評(píng)定方式 | 等級(jí) |
|---|
| 威脅等級(jí) | 高危 |
| 影響面 | 有限 |
0x02 漏洞詳情
Kong 通常被企業(yè)用于云原生架構(gòu)的 API 網(wǎng)關(guān)�,搭建方式通常會(huì)遵循官方的指引��。而 Kong 官方在安裝指引中針對(duì)通過(guò) docker 進(jìn)行實(shí)際部署的示范中
默認(rèn)將 Admin Restful API (port: 8001/8444) 也一并暴露在了公網(wǎng)之上�,進(jìn)而導(dǎo)致攻擊者可以完全控制 Kong 網(wǎng)關(guān)的所有行為。
攻擊者可以執(zhí)行的行為包括但不限于:
添加路由指向內(nèi)網(wǎng)關(guān)鍵服務(wù)
使Kong成為代理節(jié)點(diǎn)��,對(duì)能訪問(wèn)的內(nèi)部服務(wù)進(jìn)行嗅探
docker -p 會(huì)默認(rèn)監(jiān)聽(tīng) 0.0.0.0 這就意味著所有指向轉(zhuǎn)發(fā)端口的流量都會(huì)進(jìn)入到該 docker 容器
0x03 影響版本
0x04 修復(fù)建議
通用修補(bǔ)建議:
升級(jí)到
git commit
d693827c32144943a2f45abc017c1321b33ff611 版本�,
下載地址為:Kong git commit 補(bǔ)丁地址�����。
https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c
臨時(shí)修補(bǔ)建議:
自行修改 docker-compose.yaml 中的內(nèi)容將端口映射限制為 127.0.0.1
通過(guò) IPS/防火墻 等設(shè)備將 Kong Admin Restful API 相關(guān)端口禁止外部流量進(jìn)入
0x05 相關(guān)空間測(cè)繪數(shù)據(jù)
360安全大腦-Quake網(wǎng)絡(luò)空間測(cè)繪系統(tǒng)通過(guò)對(duì)全網(wǎng)資產(chǎn)測(cè)繪��,發(fā)現(xiàn)Kong API 網(wǎng)關(guān)在國(guó)內(nèi)外均有廣泛使用��,具體分布如下圖所示��。
0x06 產(chǎn)品側(cè)解決方案
360城市級(jí)網(wǎng)絡(luò)安全監(jiān)測(cè)服務(wù)
360安全大腦的QUAKE資產(chǎn)測(cè)繪平臺(tái)通過(guò)資產(chǎn)測(cè)繪技術(shù)手段��,對(duì)該類 漏洞 進(jìn)行監(jiān)測(cè)�,請(qǐng)用戶聯(lián)系相關(guān)產(chǎn)品區(qū)域負(fù)責(zé)人獲取對(duì)應(yīng)產(chǎn)品。
關(guān)于如何進(jìn)行Kong API網(wǎng)關(guān)未授權(quán)漏洞的通告問(wèn)題的解答就分享到這里了��,希望以上內(nèi)容可以對(duì)大家有一定的幫助��,如果你還有很多疑惑沒(méi)有解開(kāi),可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)�����。
