Kong Admin Rest API未授权访问漏洞(CVE-2020-11710)

举报
华为云客户服务中心 发表于 2020/04/16 16:52:17 2020/04/16
【摘要】 Kong Admin Rest API未授权访问漏洞(CVE-2020-11710)

一、概要

近日,华为云关注到国内有安全团队披露Kong Admin Rest API存在未授权访问漏洞(CVE-2020-11710)。Kong API 网关是目前最受欢迎的云原生 API 网关之一,Kong 使用 Kong Admin Rest API 作为管理 Kong Proxy 能力的关键入口,这个管理入口无鉴权能力(Kong企业版支持对 Kong Admin Rest API 进行角色控制和鉴权),导致攻击者可以通过未授权访问Admin Rest API控制Kong API网关,从而对内网进行渗透。

华为云提醒使用Kong的用户尽快安排自检并做好安全加固。

参考链接:

https://mp.weixin.qq.com/s/Ttpe63H9lQe87Uk0VOyMFw

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、漏洞影响范围

影响版本:

Kong <= 2.0.3

四、漏洞处置

Kong Admin Rest API 默认监听端口是8001和8444,将其设置为禁止对外开放或配置安全组对可信对象开放。

华为云WAF用户可以使用华为云WAF的自定义策略,对Admin API相关的URL进行访问控制来规避现网风险,配置方法参考:

https://support.huaweicloud.com/usermanual-waf/waf_01_0010.html

注:修复漏洞前请将资料备份,并进行充分测试。

 


【版权声明】本文为华为云社区用户原创内容,未经允许不得转载,如需转载请自行联系原作者进行授权。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容,举报邮箱: cloudbbs@huaweicloud.com
  • 点赞
  • 收藏
  • 关注作者

评论(0

0/1000
抱歉,系统识别当前为高风险访问,暂不支持该操作

全部回复

上滑加载中

设置昵称

在此一键设置昵称,即可参与社区互动!

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。

*长度不超过10个汉字或20个英文字符,设置后3个月内不可修改。