Spring Cloud Gateway集成Actuator的安全漏洞和解决方案
Spring Cloud Gateway是一个基于Spring Boot2.0和Spring WebFlux的API网关,它可以将请求转发到多个微服务并对请求进行路由、过滤和修改。Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但是也可能导致安全漏洞。
概述:
最近线上环境出现一起安全事件,就是由于Spring Cloud Gateway集成Actuator导致被攻击,攻击者通过动态添加路由规则,导致系统出现异常。下面将详细介绍这一事件。
问题描述:
4月初,电商平台主链路中的会场商品列表页,出现偶发性的无法展示商品数据的情况,连续刷新几次页面必定会出现一次这种情况。
通过排查线上日志,发现部分接口请求失败,报错信息为:Index: 0, Size: 0。
进一步排查,发现是Gateway网关服务报错,原本Gateway网关服务有10个pod,其中2个pod自动重启过2次,并且报的都是上面的错误信息。
事件描述:
攻击者通过Spring Cloud Gateway暴露的Actuator接口,动态添加了一个 非法的路由规则,但是没有添加断言predicates(说明,正常情况下,断言是必须的)。
当用户请求流入到网关时,网关服务会去循环遍历路由规则,而在遍历到 非法的路由规则 时 ,由于找不到predicate断言,所以直接返回报错:“Index: 0, Size: 0”。
思考:若动态添加非法路由规则时,也添加了断言,那么问题的现象会是怎样的?
分析:可能所有请求都会被路由到了一个恶意网站上。由于路由规则具有较高的优先级,因此所有请求都会被路由到恶意网站,导致系统出现异常。
原因分析:
- Spring Cloud Gateway默认开启了Actuator的Endpoints,其中包含了许多可以动态修改Gateway配置的Endpoint接口。
- Gateway的动态路由是通过GatewayFilter和RoutePredicateFactory实现的,它们可以在运行时动态添加和删除路由规则。
- 攻击者通过Actuator的POST接口发送了一个添加路由规则的请求,该非法的路由规则,可能导致网关服务报错,也可能将所有请求都路由到恶意网站上。
Actuator中创建路由规则的Endpoints,发送Post请求:/gateway/routes/{id_route_to_create}
解决方法:
临时解决方法:
对于被非法动态添加路由规则这个问题,临时的解决办法是,重启 Gateway 网关服务。
长期解决方法:
- 禁用不必要的Actuator Endpoints,比如要禁用/env接口,可设置: endpoint.env.enabled=false
- 引入Spring-Security模块,配置访问权限验证,访问Actuator接口时需要登录。
- Actuator访问接口使用独立端口,并配置不对外网开放。
总结:
Spring Cloud Gateway集成Actuator后可以提供更多的监控和管理功能,但也增加了安全风险。在使用过程中,需要注意限制访问权限和动态路由规则的范围,以避免类似的攻击事件发生。