【安全通报】Skywalking远程代码执行漏洞

花屋敷  171天前

image-20210207121953026.png

Apache Skywalking 是分布式系统的应用程序性能监视工具,特别是为微服务,云原生和基于容器(Docker,Kubernetes,Mesos)的体系结构而设计的。

近日,Apache Skywalking 官方发布安全更新,修复了 Apache Skywalking 远程代码执行漏洞。Skywalking历史上存在两次sql注入漏洞,CVE-2020-9483、CVE-2020-13921。此次漏洞是由于之前两次sql注入漏洞修复并不完善,仍存在一处sql注入漏洞。该请求无页面入口,需要根据graphql配置文件手动进行请求构造,或许这就是官方遗漏该注入点的原因。建议 Apache Skywalking 用户尽快采取安全措施阻止漏洞攻击。

影响范围

  • Apache Skywalking < v8.4.0

根据目前FOFA系统最新数据(一年内数据),显示全球范围内(app="APACHE-Skywalking")共有 1,768 个相关服务对外开放。中国大陆使用数量最多,共有 1,607 个;新加坡第二,共有 50 个;美国第三,共有 44 个;中国香港特别行政区第四,共有 21 个;印度第五,共有 10 个。

全球范围内分布情况如下(仅为分布情况,非漏洞影响情况)

image-20210207121328496.png

中国大陆地区浙江使用数量最多,共有 192 个;北京第二,共有 104 个;广东第三,共有 39 个,上海第四,共有 25 个;山东第五,共有 7 个。

image-20210207121413768.png

Vulfocus靶场环境 

目前 Vulfocus 已经集成 Apache Skywalking 环境,可通过以下命令进行拉取运行:

docker pull vulfocus/skywalking-cve_2020_9483:latest docker run -d -P vulfocus/skywalking-cve_2020_9483

也可使用线上环境 http://vulfocus.fofa.so/ 进行测试。


修复建议

  1. 升级Apache Skywalking 到最新的 v8.4.0 版本。
  2. 将默认H2数据库替换为其它支持的数据库。

参考

[1] https://mp.weixin.qq.com/s/hB-r523_4cM0jZMBOt6Vhw


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论