如何进行Kong API网关未授权漏洞的通告
如何进行Kong API网关未授权漏洞的通告,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。
0x00 漏洞背景
2020年04月16日, 360CERT监测发现 业内安全厂商 发布了 Kong Admin Restful API网关未授权漏洞 的风险通告,该漏洞编号为 CVE-2020-11710,漏洞等级:高危。
Kong API 网关 是目前最受欢迎的云原生 API 网关之一,有开源版和企业版两个分支,被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件,为云原生应用提供鉴权,转发,负载均衡,监控等能力。
Kong API 网关管理员控制接口 存在 未授权访问漏洞,攻击者可以 通过 Kong API 网关管理员控制接口,直接控制 API 网关并使其成为一个开放性的流量代理,从而访问到内部的敏感服务。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x01 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 有限 |
0x02 漏洞详情
Kong 通常被企业用于云原生架构的 API 网关,搭建方式通常会遵循官方的指引。而 Kong 官方在安装指引中针对通过 docker 进行实际部署的示范中
默认将 Admin Restful API (port: 8001/8444) 也一并暴露在了公网之上,进而导致攻击者可以完全控制 Kong 网关的所有行为。
攻击者可以执行的行为包括但不限于:
添加路由指向内网关键服务
使Kong成为代理节点,对能访问的内部服务进行嗅探
docker -p 会默认监听 0.0.0.0 这就意味着所有指向转发端口的流量都会进入到该 docker 容器
0x03 影响版本
Kong :< V2.0.3
0x04 修复建议
通用修补建议:
升级到
git commit
d693827c32144943a2f45abc017c1321b33ff611 版本,
下载地址为:Kong git commit 补丁地址。
https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c
临时修补建议:
自行修改 docker-compose.yaml 中的内容将端口映射限制为 127.0.0.1
通过 IPS/防火墙 等设备将 Kong Admin Restful API 相关端口禁止外部流量进入
0x05 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Kong API 网关在国内外均有广泛使用,具体分布如下图所示。
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞 进行监测,请用户联系相关产品区域负责人获取对应产品。
关于如何进行Kong API网关未授权漏洞的通告问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注行业资讯频道了解更多相关知识。
