最近,Kong发布了有关Kong Admin Restful API Gateway未授权漏洞的风险通知。漏洞编号为CVE-2020-11710,并且漏洞级别很高。
Kong是一个云原生,快速,可扩展的分布式微服务抽象层(也称为API网关或API中间件)。它的核心价值是高性能和可扩展性,于2015年作为一个开源项目提供。
积极维护,Kong已广泛用于从初创公司到Global 5000的公司以及政府组织的生产中。
Kong API网关管理员控制界面具有未授权的访问漏洞。攻击者可以直接控制API网关,并通过Kong API网关管理员控制界面使其成为开放的流量代理,以访问内部敏感服务。
企业通常将Kong用作云原生架构的API网关,并且建立方式通常遵循官方准则。
默认情况下,Admin Restful API(端口:8001/8444)也公开给公共网络,从而使攻击者可以完全控制Kong网关的所有行为。攻击者可以执行的操作包括但不限于:
添加到关键Intranet服务的路由
将Kong设为代理节点以嗅探可访问的内部服务
受影响的版本
Kong 2.0.2及更低版本
我们建议用户及时安装最新的修补程序。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx