CVE-2020-11710: Kong API网关未授权漏洞通告
360-CERT [360CERT](javascript:void(0)???? 今天
0x00 漏洞背景
2020年04月16日, 360CERT监测发现 业内安全厂商 发布了
Kong Admin Restful API网关未授权漏洞
的风险通告,该漏洞编号为
CVE-2020-11710
,漏洞等级:
高危
。
Kong API 网关
是目前最受欢迎的云原生 API 网关之一,有开源版和企业版两个分支,被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件,为云原生应用提供鉴权,转发,负载均衡,监控等能力。
Kong API 网关
管理员控制接口 存在
未授权访问漏洞
,攻击者可以 通过
Kong API 网关
管理员控制接口,直接控制 API 网关并使其成为一个开放性的流量代理,从而访问到内部的敏感服务。
对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。
0x01 风险等级
360CERT对该漏洞的评定结果如下
| 评定方式 | 等级 |
|---|---|
| 威胁等级 | 高危 |
| 影响面 | 有限 |
0x02 漏洞详情
Kong 通常被企业用于云原生架构的 API 网关,搭建方式通常会遵循官方的指引。而 Kong 官方在安装指引中针对通过 docker 进行实际部署的示范中
默认将 Admin Restful API (port: 8001/8444) 也一并暴露在了公网之上,进而导致攻击者可以完全控制 Kong 网关的所有行为。
攻击者可以执行的行为包括但不限于:
- 添加路由指向内网关键服务
- 使Kong成为代理节点,对能访问的内部服务进行嗅探
docker -p 会默认监听 0.0.0.0 这就意味着所有指向转发端口的流量都会进入到该 docker 容器
0x03 影响版本
- Kong :< V2.0.3
0x04 修复建议
通用修补建议:
升级到
git commit
d693827c32144943a2f45abc017c1321b33ff611
版本,
下载地址为:Kong git commit 补丁地址。
https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c
临时修补建议:
- 自行修改 docker-compose.yaml 中的内容将端口映射限制为 127.0.0.1
- 通过 IPS/防火墙 等设备将 Kong Admin Restful API 相关端口禁止外部流量进入
0x05 相关空间测绘数据
360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现
Kong API 网关
在国内外均有广泛使用,具体分布如下图所示。
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞 进行监测,请用户联系相关产品区域负责人获取对应产品。
0x07 时间线
2020-03-19 腾讯蓝军发现该漏洞
2020-03-31 Kong修复该漏洞
2020-04-15 腾讯蓝军发布漏洞信息
2020-04-16 360CERT发布预警
0x08 参考链接
1、NVD - CVE-2020-11710
[https://nvd.nist.gov/vuln/detail/CVE-2020-11710]
2、chore(admin) restrict the admin port to 127 (#350) · Kong/docker-kong@dfa095c
[https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c]
3、腾讯蓝军安全提醒: