一、概要

近日，華為云關(guān)注到國內(nèi)有安全團隊披露Kong Admin Rest API存在未授權(quán)訪問漏洞（CVE-2020-11710）。Kong API 網(wǎng)關(guān)是目前最受歡迎的云原生 API 網(wǎng)關(guān)之一，Kong 使用 Kong Admin Rest API 作為管理 Kong Proxy 能力的關(guān)鍵入口，這個管理入口無鑒權(quán)能力（Kong企業(yè)版支持對 Kong Admin Rest API 進行角色控制和鑒權(quán)），導(dǎo)致攻擊者可以通過未授權(quán)訪問Admin Rest API控制Kong API網(wǎng)關(guān)，從而對內(nèi)網(wǎng)進行滲透。

華為云提醒使用Kong的用戶盡快安排自檢并做好安全加固。

參考鏈接：

https://mp.weixin.qq.com/s/Ttpe63H9lQe87Uk0VOyMFw

https://github.com/Kong/docker-kong/commit/dfa095cadf7e8309155be51982d8720daf32e31c

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

Kong <= 2.0.3

四、漏洞處置

Kong Admin Rest API 默認(rèn)監(jiān)聽端口是8001和8444，將其設(shè)置為禁止對外開放或配置安全組對可信對象開放。

華為云WAF用戶可以使用華為云WAF的自定義策略，對Admin API相關(guān)的URL進行訪問控制來規(guī)避現(xiàn)網(wǎng)風(fēng)險，配置方法參考：

https://support.huaweicloud.com/usermanual-waf/waf_01_0010.html

注：修復(fù)漏洞前請將資料備份，并進行充分測試。