Kong Admin Rest API未授权访问漏洞（CVE-2020-11710）

一、概要

近日，华为云关注到国内有安全团队披露Kong Admin Rest API存在未授权访问漏洞（CVE-2020-11710）。Kong API 网关是目前最受欢迎的云原生 API 网关之一，Kong 使用 Kong Admin Rest API 作为管理 Kong Proxy 能力的关键入口，这个管理入口无鉴权能力（Kong企业版支持对 Kong Admin Rest API 进行角色控制和鉴权），导致攻击者可以通过未授权访问Admin Rest API控制Kong API网关，从而对内网进行渗透。

华为云提醒使用Kong的用户尽快安排自检并做好安全加固。

参考链接：

https://mp.weixin.qq.com/s/Ttpe63H9lQe87Uk0VOyMFw

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、漏洞影响范围

影响版本：

Kong <= 2.0.3

四、漏洞处置

Kong Admin Rest API 默认监听端口是8001和8444，将其设置为禁止对外开放或配置安全组对可信对象开放。

华为云WAF用户可以使用华为云WAF的自定义策略，对Admin API相关的URL进行访问控制来规避现网风险，配置方法参考：

https://support.huaweicloud.com/usermanual-waf/waf_01_0010.html

注：修复漏洞前请将资料备份，并进行充分测试。