【安全通报】Apache APISIX Dashboard 身份验证绕过漏洞(CVE-2021-45232)

fmbd  342天前

Snipaste_2021-12-28_11-27-24.png

近日,网络上出现 Apache APISIX Dashboard 身份验证绕过漏洞,攻击者可通过该漏洞绕过身份验证过程并通过某些 API 端点未经授权访问应用程序。

漏洞描述

Apache APISIX 是一个动态、实时、高性能的 API 网关, 提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX Dashboard 使用户可通过前端界面操作 Apache APISIX。

CVE-2021-45232

该漏洞的存在是由于 Manager API 中的错误。Manager API 在 gin 框架的基础上引入了 droplet 框架,所有的 API 和鉴权中间件都是基于 droplet 框架开发的。但是有些 API 直接使用了框架 gin 的接口,从而绕过身份验证。

该漏洞危害等级:高危

CVE 编号

CVE-2021-45232

FOFA 查询

title="Apache APISIX Dashboard"

影响范围

Apache APISIX Dashboard < 2.10.1

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(title="Apache APISIX Dashboard")共有 1,110 个相关服务对外开放。中国使用数量最多,共有 966 个;美国第二,共有 55 个;中国香港第三,共有 21 个;日本第四,共有 19 个;新加坡第五,共有 18 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

Snipaste_2021-12-28_11-07-11.png

中国大陆地区北京使用数量最多,共有 171 个;浙江第二,共有 113 个;广东第三,共有 82 个;上海第四,共有 71 个;四川第五,共有 14 个。

Snipaste_2021-12-28_11-07-38.png

Vulfocus 靶场环境

目前 Vulfocus 已经集成 Apache APISIX Dashboard 环境,可通过以下链接启动环境测试:

http://vulfocus.fofa.so/#/dashboard?image_id=a0098c8b-94f4-447d-97d7-cab2851f96d5


修复建议

  1. 升级至最新安全版本 Apache APISIX Dashboard 2.10.1:https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

  2. 修改默认用户名和密码,并配置访问 Apache APISIX Dashboard的白名单。

参考

[1] https://lists.apache.org/thread/979qbl6vlm8269fopfyygnxofgqyn6k5


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论