风险通告
近日,奇安信CERT监测到Apache官方发布Apache APISIX Dashboard远程代码执行漏洞(CVE-2021-45232)安全通告。由于系统中某些API存在鉴权问题,远程攻击者可以借助未授权的接口获取路由配置,覆盖配置信息,访问特定接口从而在APISIXServer中执行代码。目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。
本次更新内容:
新增漏洞细节公开状态、POC状态,新增漏洞复现截图
新增奇安信产品线解决方案
新增奇安信HUNTER 网络空间测绘数据图
修改漏洞名称、更新漏洞描述
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 未知 | 未知 |
APISIX 是一个高性能、可扩展的微服务API网关,基于nginx(openresty)和Lua实现功能,借鉴了Kong的思路,将Kong底层的关系型数据库(Postgres)替换成了NoSQL型的etcd。
近日,奇安信CERT监测到Apache官方发布Apache APISIX Dashboard远程代码执行漏洞(CVE-2021-45232)安全通告。在2.10.1之前的Apache APISIX Dashboard中,Manager API使用了”gin”和”droplet”框架,由于某些API直接使用了`gin`框架的接口并未做鉴权,从而导致身份验证绕过。远程攻击者可以借助未授权的接口获取路由配置,覆盖配置信息,访问特定接口从而在APISIXServer中执行代码。目前,Apache官方已发布可更新版本,建议客户尽快自查并修复。
CVE-2021-45232 Apache APISIX Dashboard远程代码执行漏洞
漏洞名称 | Apache APISIX Dashboard远程代码执行漏洞 | ||||
漏洞类型 | 远程代码执行 | 风险等级 | 高危 | 漏洞ID | CVE-2021-45232 |
公开状态 | 已公开 | 在野利用 | 未知 | ||
漏洞描述 | Apache APISIX Dashboard远程代码执行漏洞(CVE-2021-45232),远程攻击者可以借助未授权的接口获取路由配置,覆盖配置信息,访问特定接口从而在APISIX Server中执行代码。 | ||||
参考链接 | |||||
https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5 |
奇安信 CERT 第一时间分析并复现了Apache APISIX Dashboard远程代码执行漏洞(CVE-2021-45232),复现截图如下:
使用Apache APISIX Dashboard全球地区分布如下:
以上数据来自奇安信全球鹰网络空间测绘搜索平台(HUNTER)。
Apache APISIX Dashboard < 2.10.1
1.版本升级
目前官方已有可更新版本,用户可升级至安全版本。
升级至 Apache APISIX Dashboard 2.10.1以上版本:
https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1
2.缓解措施
若无法及时升级至安全版本,可采用以下缓解措施来缓解此漏洞:
增加IP白名单访问ApacheAPISIX Dashboard。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7158,建议用户尽快升级检测规则库至2112301550以后版本并启用该检测规则。
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.1230.13190上版本。规则名称:ApacheAPISIX Dashboard远程代码执行漏洞(CVE-2021-45232),规则ID:0x10020E40。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信开源卫士20211230. 933版本已支持对ApacheAPISIX Dashboard远程代码执行漏洞-CVE-2021-45232的检测。
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列),已通过更新 IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至“2112301500”及以上版本并启用规则ID:4346601进行检测。
奇安信网神网站应用安全云防护系统已全面支持Apache APISIX Dashboard 远程代码执行漏洞(CVE-2021-45232)的防护。
2021年12月28日,奇安信 CERT发布安全风险通告
2021年12月30日,奇安信 CERT发布安全风险通告第二次更新