【漏洞預警】Apache APISIX Dashboard 身份驗證繞過漏洞

1. 通告信息

近日，安識科技A-Team團隊監測到一則Apache APISIX Dashboard 身份驗證繞過漏洞的信息，當前官方已發布受影響的補丁。

對此，安識科技建議廣大用戶及時升級到安全版本,并做好資產自查以及預防工作，以免遭受黑客攻擊。

2. 漏洞概述

Apache APISIX 是一個動態、實時、高性能的 API 網關， 提供負載均衡、動態上游、灰度發布、服務熔斷、身份認證、可觀測性等豐富的流量管理功能。Apache APISIX Dashboard 使用戶可通過前端界面操作 Apache APISIX。

CVE-2021-45232

該漏洞的存在是由于 Manager API 中的錯誤。Manager API 在 gin 框架的基礎上引入了 droplet 框架，所有的 API 和鑒權中間件都是基于 droplet 框架開發的。但是有些 API 直接使用了框架 gin 的接口，從而繞過身份驗證。

3. 漏洞危害

近日，網絡上出現 Apache APISIX Dashboard 身份驗證繞過漏洞，攻擊者可通過該漏洞繞過身份驗證過程并通過某些 API 端點未經授權訪問應用程序。

4. 影響版本

Apache APISIX Dashboard < 2.10.1

5. 解決方案

1、升級至最新安全版本 Apache APISIX Dashboard 2.10.1：https://github.com/apache/apisix-dashboard/releases/tag/v2.10.1

2、修改默認用戶名和密碼，并配置訪問 Apache APISIX Dashboard的白名單。

6. 時間軸

【-】2021年12月28日 安識科技A-Team團隊監測到Apache官方發布安全補丁

【-】2021年12月28日 安識科技A-Team團隊根據官方公告分析

【-】2021年12月28日 安識科技A-Team團隊發布安全通告