漏洞描述
Kong Gateway 是一个开源的轻量级 API 网关。 Kong 带有一个用于管理目的的内部 RESTful Admin API。对 Admin API 的请求可以发送到集群中的任何节点,Kong 将在所有节点上保持配置一致。在没有身份验证的情况下能够访问 Kong Gateway Admin API。建议限制对 Kong Admin API 的访问。建议仅将 Kong Gateway Admin API 公开给 localhost。
Kong仅接受来自本地端口的请求, admin_listen 配置项的默认值
如果更改此值,确保将监听范围保持在最低限度,以避免将 Admin API 暴露给第三方,这将严重损害整个集群的安全性。
漏洞建议
建议限制对 Kong Admin API 的访问。
例如,避免使用诸如 0.0.0.0:8001 这类的值,以免将Kong绑定到所有接口
如果 Admin API 必须在 localhost 接口之外公开,根据网络安全参考,需要尽可能的限制网络层的访问,考虑到Kong只监听一些私有网络接口,所以可以将访问权限控制在小的 IP 集合内,这种情况下,基于主机的防火墙(iptables)在限制范围性的流入流量很有帮助。
漏洞复现方法: