Kong Admin Rest API未授权访问漏洞(CVE-2020-11710)
一、概要
近日,华为云关注到国内有安全团队披露Kong Admin Rest API存在未授权访问漏洞(CVE-2020-11710)。Kong API 网关是目前最受欢迎的云原生 API 网关之一,Kong 使用 Kong Admin Rest API 作为管理 Kong Proxy 能力的关键入口,这个管理入口无鉴权能力(Kong企业版支持对 Kong Admin Rest API 进行角色控制和鉴权),导致攻击者可以通过未授权访问Admin Rest API控制Kong API网关,从而对内网进行渗透。
华为云提醒使用Kong的用户尽快安排自检并做好安全加固。
参考链接:
https://mp.weixin.qq.com/s/Ttpe63H9lQe87Uk0VOyMFw
https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、漏洞影响范围
影响版本:
Kong <= 2.0.3
四、漏洞处置
Kong Admin Rest API 默认监听端口是8001和8444,将其设置为禁止对外开放或配置安全组对可信对象开放。
华为云WAF用户可以使用华为云WAF的自定义策略,对Admin API相关的URL进行访问控制来规避现网风险,配置方法参考:
https://support.huaweicloud.com/usermanual-waf/waf_01_0010.html
注:修复漏洞前请将资料备份,并进行充分测试。
- 点赞
- 收藏
- 关注作者
评论(0)