【安全通报】Skywalking远程代码执行漏洞

Apache Skywalking 是分布式系统的应用程序性能监视工具，特别是为微服务，云原生和基于容器（Docker，Kubernetes，Mesos）的体系结构而设计的。

近日，Apache Skywalking 官方发布安全更新，修复了 Apache Skywalking 远程代码执行漏洞。Skywalking历史上存在两次sql注入漏洞，CVE-2020-9483、CVE-2020-13921。此次漏洞是由于之前两次sql注入漏洞修复并不完善，仍存在一处sql注入漏洞。该请求无页面入口，需要根据graphql配置文件手动进行请求构造，或许这就是官方遗漏该注入点的原因。建议 Apache Skywalking 用户尽快采取安全措施阻止漏洞攻击。

影响范围

• Apache Skywalking < v8.4.0

根据目前FOFA系统最新数据（一年内数据），显示全球范围内（app="APACHE-Skywalking"）共有 1,768 个相关服务对外开放。中国大陆使用数量最多，共有 1,607 个；新加坡第二，共有 50 个；美国第三，共有 44 个；中国香港特别行政区第四，共有 21 个；印度第五，共有 10 个。

全球范围内分布情况如下（仅为分布情况，非漏洞影响情况）

中国大陆地区浙江使用数量最多，共有 192 个；北京第二，共有 104 个；广东第三，共有 39 个，上海第四，共有 25 个；山东第五，共有 7 个。

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Apache Skywalking 环境，可通过以下命令进行拉取运行：

docker pull vulfocus/skywalking-cve_2020_9483:latest
docker run -d -P vulfocus/skywalking-cve_2020_9483

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。

修复建议

1. 升级Apache Skywalking 到最新的 v8.4.0 版本。
2. 将默认H2数据库替换为其它支持的数据库。

参考

[1] https://mp.weixin.qq.com/s/hB-r523_4cM0jZMBOt6Vhw

白帽汇从事信息安全，专注于安全大数据、企业威胁情报。

公司产品：FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供：网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。