腾讯蓝军安全提醒:开源云原生API网关 Kong 可能会成为攻击方进入企业内网的新入口(CVE-2020-11710)
这个安全问题是如何发现的?
这个安全问题的影响是什么?
如何判断企业资产是否受该问题影响?
HTTP/1.1200 OK
Date:Wed,15Apr202003:03:16 GMT
Content-Type: application/json; charset=utf-8
Connection: keep-alive
Access-Control-Allow-Origin:*
Server: kong/2.0.2
Content-Length:8312
X-Kong-Admin-Latency:2
{
"plugins":{
"enabled_in_cluster":[],
"available_on_server":{}
},
"tagline":"Welcome to kong",
"configuration":{
"...":"...",
"kong_env":"/usr/local/kong/.kong_env",
"cassandra_schema_consensus_timeout":10000,
"log_level":"notice",
"admin_ssl_cert_key_default":"/usr/local/kong/ssl/admin-kong-default.key",
"real_ip_recursive":"off",
"proxy_error_log":"/dev/stderr",
"ssl_cipher_suite":"intermediate",
"router_consistency":"strict",
"pg_port":5432,
"cassandra_keyspace":"kong",
"ssl_cert_default":"/usr/local/kong/ssl/kong-default.crt",
"nginx_http_ssl_session_timeout":"1d",
"error_default_type":"text/plain",
"role":"traditional",
"admin_ssl_enabled":false,
"trusted_ips":{}
},
"version":"2.0.2",
"node_id":"0bfe4d56-c5f3-4df0-9af1-4fabb0cba108",
"lua_version":"LuaJIT 2.1.0-beta3",
"prng_seeds":{
"pid: 22":772511031151,
"pid: 1":431556103185
},
"timers":{
"pending":9,
"running":0
},
"hostname":"72f74e7bd339"
}
我们使用知道创宇的 ZoomEye 快速对目前公网上的 Kong 资产进行检索,可以找到 5 万多个 kong 服务在公网开放,根据上述特征可以发现有 3 千多个 Admin Rest API 未鉴权对外;ZoomEye 在网络空间搜索能力上的优越性极大的帮助了我们对此风险的整体评估和分析。
Kong 之外的API网关组件
为支持云原生、微服务等应用的需求,API 网关在实现的过程中都会对配置的灵活性有所侧重,所以把配置能力从主机层开放成可访问可动态修改的配置服务是很多 API 网关组件都会优先支持的,相似的问题也在类似的网关组件中存在,可以使用相同的攻击手法进行利用。
同时也需要注意:大部分情况下云原生 API 网关是不会附带一个 Web Dashboard 供用户使用的,所以针对像 Kong 这类较著名的 API 网关组件,业务团队在使用过程中可能会搭建第三方 Kong Dashboard 方便进行配置,而这些 Dashboard 的鉴权设计是远远无法满足一个运维平台的安全需求的。
时间线
2020/03/19 腾讯蓝军同Kong安全团队交流在容器场景安全风险
2020/03/20 Kong团队开始逐步对产品和文档进行调整
2020/03/31 Kong团队发送致谢邮件并反馈产品修复细节
2020/03/31 向 CNVD 报告该漏洞和利用场景
2020/04/12 根据在 Docker 场景存在的问题分配 CVE-2020-11710
2020/04/15 腾讯蓝军发布漏洞提醒和漏洞信息
参考链接
https://github.com/Kong/kong
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11710
https://github.com/Kong/docker-kong/commit/18c4029ee3d4acfece679fa87b5dd081fb56fdd5
https://www.zoomeye.org/
注: 在复盘过往的红蓝对抗过程中,突然发现此处的风险可能攻防两方都会有所疏忽,仓促之间发布公告,请业界的大佬们斧正。
我们是TSRC
互联网安全的守护者
用户数据安全的保卫者
我们找漏洞、查入侵、防攻击
与安全行业精英携手共建互联网生态安全
期待正能量的你与我们结盟!
微信号:tsrc_team