一、漏洞描述
漏洞编号:CVE-2021-45232
漏洞类型:API接口未授权访问
受漏洞影响版本:Apache APISIX Dashboard v2.7 - v2.10(< v2.10.1)
漏洞评估:高危
|
影响面 |
中 |
虽然Apache APISIX被广泛使用,但大多部署在内网,因此面临危险的主要是开放外网访问的APISIX Dashboard,目前全网约有千台左右可以通过外网访问 |
|
可利用性 |
高 |
由于APISIX Dashboard是开源项目,攻击者通过阅读文档和代码可以很快构造出攻击代码,目前网上已经有公开的PoC |
|
危害性 |
高 |
未授权的情况下可以访问APISIX Dashboard的API接口,获取和更改APISIX的Route、Upstream、Service等相关配置信息;其中export接口精心构造的恶意输入可以允许远程代码执行(RCE),进而攻陷服务器 |
二、漏洞原理分析
这个漏洞属于非常典型的未授权访问漏洞,攻击者在不需要登录APISIX Dashboard的情况下即可访问某些API接口。其中受影响的接口(已模糊处理)主要有:
/apisix/***/***/import
/apisix/***/***/export
根据APISIX官方文档的说明,import接口用于导入或者恢复配置,export接口用于导出或者迁移配置。这2个接口是v2.7新增的API接口,使用的是gin(一个Go语言编写的web框架):
然而,这两个接口的访问并没有做鉴权,甚至相关的测试用例都是漏洞修复之后补上去的:
至于漏洞修复也就比较简单了,新版本加上了相应的鉴权代码:
三、防护建议
1)目前官方已经发布新版本2.10.1修复此漏洞,建议尽快升级:https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1;
2)非必要情况下,不要将APISIX Dashboard的访问权限开放到外网,或者利用IP白名单对访问者进行限制,从而减少被攻击的可能性。
四、补充说明
API接口未授权访问一直以来都是令甲方安全人员头疼的问题,在《OWASP API Security Top 10 2019》里面,Broken Object Level Authorization(失效的对象级授权),包括未授权、越权访问等,就是排在第一位的安全问题:
为了帮助企业第一时间发现这类问题,永安在线API安全管控平台目前已经支持接口未授权访问和越权访问的检测。同时,也覆盖了《OWASP API Security Top 10 2019》里面所有类型的缺陷检测,具有一套完整的API安全缺陷评估标准。
-
自动化识别API是否存在标准中的安全缺陷问题,并提供查看和管理安全缺陷的功能;
-
对包含涉敏数据和存在安全缺陷的API进行优先预警,企业也可以自定义需优先级预警的问题;
-
新增的缺陷问题实时发送预警信息,并提供详细的识别逻辑、处置建议。
应用价值:
-
基于业务流量分析,持续感知API的缺陷状态,缩短缺陷发现时间;
-
通过缺陷样例详情,安全和研发能高效沟通,提高缺陷修复的效率;
-
全面了解API缺陷变更历史和概况,沉淀经验样例,指导研发编码安全。
目前平台已覆盖20多种API安全风险缺陷检测,并在不断增加种类。
(接口未授权访问缺陷检测)
点击下方名片,关注永安在线
觉得内容不错,点一下“赞”和“在看”,鼓励鼓励!
原文始发于微信公众号(永安在线情报平台):API漏洞分析|Apache APISIX Dashboard高危漏洞(CVE-2021-45232)分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论