【安全风险通告】Apache ShardingSphere远程代码执行漏洞安全风险通告

近日，奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞，目前官方已为该漏洞分配CVE编号：CVE-2020-1947。截至今日，该漏洞已修复。鉴于漏洞危害较大，建议客户尽快升级到最新版本。

奇安信 CERT

漏洞描述

近日，奇安信云影实验室安全研究员maoge发现Apache ShardingSphere存在远程代码执行漏洞，经过了解，官方已为该漏洞分配CVE编号：CVE-2020-1947。截止今日，该漏洞已修复。

Apache ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈，它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar（规划中）这3款相互独立，却又能够混合部署配合使用的产品组成。它们均提供标准化的数据分片、分布式事务和数据库治理功能，可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。

经过验证的攻击者可以通过提交任意YAML代码实现远程代码执行。相关截图如下：

值得注意的是Apache ShardingSphere后台的管理账号密码默认均为admin。

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

Apache ShardingSphere < 4.0.1

处置建议

请参考以下链接升级到最新版本：

https://github.com/apache/incubator-shardingsphere/releases

技术分析

通过对Apache ShardingSphere代码分析，发现开发人员直接使用unmarshal方法对输入的YAML直接进行解析，没有做校验。

对比补丁发现新增ClassFilterConstructor来对此进行校验。

产品线解决方案

360网神虚拟化安全管理平台已更新入侵防御规则库

360 网神虚拟化安全管理平台轻代理版本可通过更新入侵防御规则库2020.03.10版本，支持对Apache ShardingSphere远程代码执行漏洞的防护，请用户联系技术支持人员获取规则升级包对虚拟化产品轻代理版本进行升级。

360 网神虚拟化安全管理平台无代理版本可通过更新入侵防御规则库10255版本，支持对Apache ShardingSphere远程代码执行漏洞的防护，请用户联系技术支持人员获取规则升级包对虚拟化产品无代理版本进行升级。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统已经在2月中旬加入了该漏洞的检测规则，请将规则包升级到3.0.0226.11686及以上版本。规则名称：Apache ShardingSphere远程代码执行漏洞(CVE-2020-1947)，规则ID：0x100207EB。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Apache ShardingSphere远程代码执行漏洞的防护。

奇安信开源卫士已更新

奇安信开源卫士通过更新到20200310.231版本，支持对apache ShardingSphere远程代码执行漏洞的检测。

奇安信网神天堤防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2003101430” 及以上版本并启用规则ID: 5290进行检测防御。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（（NDS3000/5000/7000/9000系列和vNDS1000/2000/3000系列））产品，已具备该漏洞的检测能力。规则ID为：5290，建议用户尽快升级检测规则库至2003101430以上版本并启用该检测规则。

参考资料

[1] https://github.com/apache/incubator-shardingsphere/releases

时间线

2020年3月10日，奇安信 CERT发布安全风险通告

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。