234钱包

2020年4月16日，，234钱包安全应急响应中心监控到业内安全厂商颁布了一则安全布告，，描述了Kong API网关的一个高危缝隙，，Kong API网关治理员节制接口存在未授权接见缝隙，，攻击者能够通过Kong API网关治理员节制接口，，直接节制 API 网关并使其成为一个盛开性的流量代理，，从而接见到内部的敏感服务！！

对此，，234钱包安全响应中心建议宽大用户实时装置最新补丁，，做好资产自查及预防工作，，以免遭逢攻击！！

缝隙编号:

CVE-2020-11710

缝隙名称:

Kong Admin Restful API网关未授权缝隙

：Φ燃:

高危

缝隙描述:

Kong API 网关 是目前最受欢迎的云原生API网关之一，，有开源版和企业版两个分支，，被宽泛利用于云原生、微服务、散布式、无服务云函数等场景的API接入中央件，，为云原生利用提供鉴权，，转发，，负载平衡，，监控等能力！！ong API 网关治理员节制接口存在未授权接见缝隙，，攻击者能够通过 Kong API 网关治理员节制接口，，直接节制 API 网关并使其成为一个盛开性的流量代理，，从而接见到内部的敏感服务！！

企业在使用 Kong 作为云原生架构的API网关时，，通常；崾褂萌萜鞯姆绞浇写罱，，以支持散布式和可扩大性；；而在 2.0.3 版本之前，，当企业遵循官方文档或默认配置使用 Docker 容器的方式搭建 Kong API 网关时，，官方文档和默认配置城市指引用户将未经鉴权的 Admin 治理能力对公网盛开（0.0.0.0），，导致攻击者能够节制网关的全数能力，，批改 upstreams、services、router 等配置，，进而攻击企业内网！！ong 官方在装置指引中针对通过 docker 进行现实部署的示范如下图：

默认将 Admin Restful API (port: 8001/8444) 也一并露出在了公网之上，，进而导致攻击者能够齐全节制 Kong 网关的所有行为！！

影响版本:

Kong < 2.0.3

修复规划：

受影响利用升级到 git commit d693827c32144943a2f45abc017c1321b33ff611 版本，，

官方下载地址为：

Kong git commit 补丁地址

https://github.com/Kong/docker-kong/commit/dfa095ca df7e8309155be51982d8720daf32e31c

一时修复建议 ：

1. 自行批改 docker-compose.yaml 中的内容将端口映射限度为 127.0.0.1

2. 通过 IPS/防火墙 等设备将 Kong Admin Restful API 有关端口不容外部流量进入 

参考链接：

https://mp.weixin.qq.com/s/mzwwjglGKi8prm5SoaJaww

北京234钱包网络技术有限公司

2020/04/16