欢迎user
漏洞综述
漏洞背景
APISIX 是一个云原生、高性能、可扩展的开源API网关,基于OpenResty(Nginx+Lua) 和etcd 实现,对比传统的API网关,具有动态路由和热插件加载的特点。APISIX系统本身自带前端,可以手动配置路由、负载均衡、限速限流、身份验证等插件。近日,新华三攻防实验室威胁预警团队监测到Apache APISIX官方发布了安全公告,修复了一个远程代码执行漏洞(CVE-2022-24112),成功利用此漏洞可导致任意代码执行。
漏洞原理
该漏洞存在于APISIX的batch-requests插件中,启用该插件将会导致服务器受该漏洞影响。batch-requests插件是APISIX的一个批处理请求插件,在该插件工作时会检查客户端 IP 及其真实的远程 IP,但由于代码中存在错误,恶意攻击者可以通过滥用batch-requests插件发送特制请求,从而绕过Admin API的IP限制,如绕过IP黑白名单限制,或者当用户使用Apache APISIX默认配置时(启用Admin API,使用默认Admin Key且没有额外分配管理端口),攻击者可以通过batch-requests插件调用Admin API,最终可导致远程代码执行。
影响范围
Apache APISIX 1.3 ~ 2.12.1 之间的所有版本(不包含 2.12.1 )
Apache APISIX 2.10.0 ~ 2.10.4 LTS 之间的所有版本 (不包含 2.10.4)
漏洞等级:高危
处置方法
官方补丁
目前官方已发布最新版本,请受影响用户尽快更新。官方链接:https://apisix.apache.org/zh/blog/2022/02/11/cve-2022-24112/
临时修复建议
在受影响的Apache APISIX版本中,可以在conf/config.yaml和conf/config-default.yaml文件中注释掉batch-requests,并且重启Apache APISIX。
参考链接
https://lists.apache.org/thread/lcdqywz8zy94mdysk7p3gfdgn51jmt94
https://www.openwall.com/lists/oss-security/2022/02/11/3