CVE-2020-11710: Kong API網關未授權漏洞通告
360-CERT [360CERT](javascript:void(0)???? 今天
0x00 漏洞背景
2020年04月16日, 360CERT監測發現 業内安全廠商 釋出了
Kong Admin Restful API網關未授權漏洞
的風險通告,該漏洞編号為
CVE-2020-11710
,漏洞等級:
高危
。
Kong API 網關
是目前最受歡迎的雲原生 API 網關之一,有開源版和企業版兩個分支,被廣泛應用于雲原生、微服務、分布式、無服務雲函數等場景的API接入中間件,為雲原生應用提供鑒權,轉發,負載均衡,監控等能力。
Kong API 網關
管理者控制接口 存在
未授權通路漏洞
,攻擊者可以 通過
Kong API 網關
管理者控制接口,直接控制 API 網關并使其成為一個開放性的流量代理,進而通路到内部的敏感服務。
對此,360CERT建議廣大使用者及時安裝最新更新檔,做好資産自查以及預防工作,以免遭受黑客攻擊。
0x01 風險等級
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 有限 |
0x02 漏洞詳情
Kong 通常被企業用于雲原生架構的 API 網關,搭建方式通常會遵循官方的指引。而 Kong 官方在安裝指引中針對通過 docker 進行實際部署的示範中
預設将 Admin Restful API (port: 8001/8444) 也一并暴露在了公網之上,進而導緻攻擊者可以完全控制 Kong 網關的所有行為。
攻擊者可以執行的行為包括但不限于:
- 添加路由指向内網關鍵服務
- 使Kong成為代理節點,對能通路的内部服務進行嗅探
docker -p 會預設監聽 0.0.0.0 這就意味着所有指向轉發端口的流量都會進入到該 docker 容器
0x03 影響版本
- Kong :< V2.0.3
0x04 修複建議
通用修補建議:
更新到
git commit
d693827c32144943a2f45abc017c1321b33ff611
版本,
下載下傳位址為:Kong git commit 更新檔位址。
https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c
臨時修補建議:
- 自行修改 docker-compose.yaml 中的内容将端口映射限制為 127.0.0.1
- 通過 IPS/防火牆 等裝置将 Kong Admin Restful API 相關端口禁止外部流量進入
0x05 相關空間測繪資料
360安全大腦-Quake網絡空間測繪系統通過對全網資産測繪,發現
Kong API 網關
在國内外均有廣泛使用,具體分布如下圖所示。
0x06 産品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資産測繪平台通過資産測繪技術手段,對該類 漏洞 進行監測,請使用者聯系相關産品區域負責人擷取對應産品。
0x07 時間線
2020-03-19 騰訊藍軍發現該漏洞
2020-03-31 Kong修複該漏洞
2020-04-15 騰訊藍軍釋出漏洞資訊
2020-04-16 360CERT釋出預警
0x08 參考連結
1、NVD - CVE-2020-11710
[https://nvd.nist.gov/vuln/detail/CVE-2020-11710]
2、chore(admin) restrict the admin port to 127 (#350) · Kong/docker-kong@dfa095c
[https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c]
3、騰訊藍軍安全提醒: