如何进行Kong API网关未授权漏洞的通告,针对这个问题,这篇文章详细介绍了相对应的分析和解答,希望可以帮助更多想解决这个问题的小伙伴找到更简单易行的方法。2020年04月16日, 360CERT监测发现 业内安全厂商 发布了Kong Admin Restful API网关未授权漏洞的风险通告,该漏洞编号为CVE-2020-11710,漏洞等级:高危。Kong API 网关是目前最受欢迎的云原生 API 网关之一,有开源版和企业版两个分支,被广泛应用于云原生、微服务、分布式、无服务云函数等场景的API接入中间件,为云原生应用提供鉴权,转发,负载均衡,监控等能力。Kong API 网关管理员控制接口 存在未授权访问漏洞,攻击者可以 通过Kong API 网关管理员控制接口,直接控制 API 网关并使其成为一个开放性的流量代理,从而访问到内部的敏感服务。对此,360CERT建议广大用户及时安装最新补丁,做好资产自查以及预防工作,以免遭受黑客攻击。360CERT对该漏洞的评定结果如下Kong 通常被企业用于云原生架构的 API 网关,搭建方式通常会遵循官方的指引。而 Kong 官方在安装指引中针对通过 docker 进行实际部署的示范中默认将 Admin Restful API (port: 8001/8444) 也一并暴露在了公网之上,进而导致攻击者可以完全控制 Kong 网关的所有行为。攻击者可以执行的行为包括但不限于:添加路由指向内网关键服务使Kong成为代理节点,对能访问的内部服务进行嗅探docker -p 会默认监听 0.0.0.0 这就意味着所有指向转发端口的流量都会进入到该 docker 容器Kong :升级到git commitd693827c32144943a2f45abc017c1321b33ff611版本,下载地址为:Kong git commit 补丁地址。https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c自行修改 docker-compose.yaml 中的内容将端口映射限制为 127.0.0.1通过 IPS 香港云主机/防火墙 等设备将 Kong Admin Restful API 相关端口禁止外部流量进入360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Kong API 网关在国内外均有广泛使用,具体分布如下图所示。360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞 进行监测,请用户联系相关产品区域负责人获取对应产品。关于如何进行Kong API网关未授权漏洞的通告问题的解答就分享到这里了,希望以上内容可以对大家有一定的帮助,如果你还有很多疑惑没有解开,可以关注开发云行业资讯频道了解更多相关知识。
相关推荐: IDEA中如何集成JIRA、UML类图插件、SSH、FTP、Database管理
这篇文章主要介绍了IDEA中如何集成JIRA、UML类图插件、SSH、FTP、Database管理,具有一定借鉴价值,感兴趣的朋友可以参考下,希望大家阅读完这篇文章之后大有收获,下面让小编带着大家一起了解一下。jira是一个广泛使用的项目与事务跟踪工具,被广泛…
免责声明:本站发布的图片视频文字,以转载和分享为主,文章观点不代表本站立场,本站不承担相关法律责任;如果涉及侵权请联系邮箱:360163164@qq.com举报,并提供相关证据,经查实将立刻删除涉嫌侵权内容。
微信扫一扫 
