Apache APISIX jwt-auth插件密钥泄漏漏洞(CVE-2022-29266)分析报告<\/h1>

漏洞概述<\/h2>
CVE-2022-29266是Apache APISIX中jwt-auth插件存在的一个敏感信息泄露漏洞。在2.13.1版本之前的Apache APISIX中，攻击者可以通过向受jwt-auth插件保护的路由发送不正确的JSON Web令牌(JWT)，通过错误消息响应获取插件配置的机密信息。<\/p>

漏洞详情<\/h2>

漏洞描述<\/h3>

该漏洞源于依赖库lua-resty-jwt<\/code>中的错误逻辑，允许将RS256令牌发送到需要HS256令牌的端点，错误响应中包含原始密钥值。具体表现为：<\/p>


当攻击者构造特定的RS256格式JWT令牌发送到配置了jwt-auth插件(使用HS256算法)的路由时<\/li>
服务器会返回包含敏感信息(secret)的错误消息<\/li>
攻击者可以从错误响应中获取jwt-auth插件配置的密钥<\/li>
<\/ol>
影响版本<\/h3>

Apache APISIX < 2.13.1<\/li>
<\/ul>
环境搭建<\/h2>
搭建方式<\/h3>

Docker搭建<\/strong>：推荐使用Docker方式快速搭建测试环境<\/li>
手动构建<\/strong>：参考官方文档如何构建Apache APISIX<\/li>
<\/ol>
插件配置步骤<\/h3>


访问Dashboard页面(http:\/\/127.0.0.1:9000)，默认账号密码为admin\/admin)<\/p>
<\/li>

创建consumer：<\/p>

名称可任意设置<\/li>
启用jwt-auth插件<\/li>
配置示例：{ "key": "Vul_test", "secret": "admin_admin" }<\/code><\/li>
算法默认使用HS256<\/li>
<\/ul>
<\/li>

创建路由：<\/p>

设置路由名称和路径(建议简单易记)<\/li>
配置上游服务(目标节点)<\/li>
启用jwt-auth插件(无需额外配置)<\/li>
<\/ul>
<\/li>

验证配置：<\/p>

访问\/apisix\/plugin\/jwt\/sign<\/code>接口获取合法token：
curl http:\/\/127.0.0.1:9080\/apisix\/plugin\/jwt\/sign?key=<\/span>Vul_test -i
<\/span><\/span><\/code><\/pre><\/li>
使用获取的token测试路由访问：
curl "http:\/\/127.0.0.1:9080\/Vul_test?jwt=<TOKEN>"<\/span> -i
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
JWT基础知识<\/h2>
什么是JSON Web令牌(JWT)<\/h3>
JWT是一种开放标准(RFC 7519)，定义了一种紧凑且独立的方式，用于将信息作为JSON对象在各方之间安全传输。特点包括：<\/p>

经过数字签名，可验证和信任<\/li>
可使用密钥(HMAC算法)或公钥\/私钥对(RSA\/ECDSA)进行签名<\/li>
<\/ul>
JWT结构<\/h3>
由三部分组成，格式为header.payload.signature<\/code>：<\/p>


Header<\/strong>：<\/p>

包含令牌类型和签名算法(如HS256或RS256)<\/li>
JSON格式，Base64Url编码<\/li>
<\/ul>
<\/li>

Payload<\/strong>：<\/p>

包含声明(注册声明、公共声明、私人声明)<\/li>
JSON格式，Base64Url编码<\/li>
<\/ul>
<\/li>

Signature<\/strong>：<\/p>

对编码后的header和payload使用指定算法签名<\/li>
例如HS256签名：HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)<\/code><\/li>
<\/ul>
<\/li>
<\/ol>
JWT使用场景<\/h3>

授权<\/strong>：最常见的使用场景<\/li>
信息交换<\/strong>：安全地在各方之间传输信息<\/li>
<\/ol>
漏洞复现<\/h2>
攻击步骤<\/h3>


构造RS256令牌<\/strong>：<\/p>

使用在线工具(如jwt.io)生成RS256格式JWT<\/li>
Header：{"alg":"RS256","typ":"JWT"}<\/code><\/li>
Payload：{"key":"Vul_test"}<\/code> (key值为consumer配置的key)<\/li>
使用默认的公钥\/私钥对生成签名<\/li>
<\/ul>
<\/li>

发送恶意请求<\/strong>：<\/p>
curl "http:\/\/127.0.0.1:9080\/Vul_test?jwt=<RS256_TOKEN>"<\/span> -i
<\/span><\/span><\/code><\/pre><\/li>

获取敏感信息<\/strong>：<\/p>

服务器返回的错误消息中将包含配置的secret值<\/li>
<\/ul>
<\/li>
<\/ol>
技术原理分析<\/h3>
漏洞位于\/apisix\/plugins\/jwt-auth.lua#_M.rewrite()<\/code>函数中：<\/p>

函数会验证令牌的Header、Payload和user-key<\/li>
验证失败时返回401及包含错误细节的message<\/li>
当处理RS256令牌发送到HS256端点时，错误响应会泄露secret值<\/li>
<\/ol>
关键问题点：<\/p>

错误处理逻辑过于详细，暴露了敏感信息<\/li>
未对不同类型的JWT算法做适当隔离处理<\/li>
<\/ul>
修复方案<\/h2>
官方修复措施<\/h3>


升级版本<\/strong>：<\/p>

升级到2.13.1或更高版本<\/li>
<\/ul>
<\/li>

应用补丁<\/strong>：<\/p>

对于LTS 2.13.x或master分支：

https:\/\/github.com\/apache\/apisix\/pull\/6846<\/li>
https:\/\/github.com\/apache\/apisix\/pull\/6847<\/li>
https:\/\/github.com\/apache\/apisix\/pull\/6858<\/li>
<\/ul>
<\/li>
对于LTS 2.10.x版本：

https:\/\/github.com\/apache\/apisix\/pull\/6847<\/li>
https:\/\/github.com\/apache\/apisix\/pull\/6855<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

手动修改<\/strong>：<\/p>

根据上述提交手动修改当前使用版本并重新构建<\/li>
<\/ul>
<\/li>
<\/ol>
修复效果<\/h3>
修复后：<\/p>

错误消息不再包含敏感信息<\/li>
向调用方返回固定的错误消息<\/li>
<\/ul>
参考资源<\/h2>

Apache APISIX官方文档<\/li>
JWT官方规范(RFC 7519)<\/li>
漏洞相关补丁提交记录<\/li>
<\/ol>
备注<\/h2>
测试环境可通过提供的Docker配置快速搭建，解压附件CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>

Apache APISIX jwt-auth插件密钥泄漏漏洞(CVE-2022-29266)分析报告<\/h1>

漏洞详情<\/h2>

环境搭建<\/h2>

JWT基础知识<\/h2>

漏洞复现<\/h2>

修复方案<\/h2>

参考资源<\/h2>

Apache APISIX官方文档<\/li>
JWT官方规范(RFC 7519)<\/li>
漏洞相关补丁提交记录<\/li> <\/ol>
备注<\/h2>
测试环境可通过提供的Docker配置快速搭建，解压附件`CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>`

备注<\/h2>
测试环境可通过提供的Docker配置快速搭建，解压附件`CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>`

Apache APISIX jwt-auth插件密钥泄漏漏洞(CVE-2022-29266)分析报告<\/h1>

漏洞详情<\/h2>

环境搭建<\/h2>

JWT基础知识<\/h2>

漏洞复现<\/h2>

修复方案<\/h2>

参考资源<\/h2> Apache APISIX官方文档<\/li> JWT官方规范(RFC 7519)<\/li> 漏洞相关补丁提交记录<\/li> <\/ol> 备注<\/h2> 测试环境可通过提供的Docker配置快速搭建，解压附件CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>

备注<\/h2> 测试环境可通过提供的Docker配置快速搭建，解压附件CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>

参考资源<\/h2>

Apache APISIX官方文档<\/li>
JWT官方规范(RFC 7519)<\/li>
漏洞相关补丁提交记录<\/li> <\/ol>
备注<\/h2>
测试环境可通过提供的Docker配置快速搭建，解压附件`CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>`

备注<\/h2>
测试环境可通过提供的Docker配置快速搭建，解压附件`CVE-2022-29266-环境.zip<\/code>后运行sh脚本即可。<\/p>`