一、Swagger API 未授权访问漏洞
漏洞描述:
由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由的情况下可以执行任意方法,从而导致远程命令执行漏洞。受影响的版本包括 5.0 和 5.1 版本(即默认情况下)。
修复建议:
1.身份验证和授权:实施适当的身份验证和授权机制来限制对 API 的访问。例如,使用 API 密钥、令牌或访问令牌来验证用户的身份并授予适当的权限。
2.访问控制列表(ACL):创建和维护可访问 API 的用户列表,只允许在此列表中的用户访问 API。这可以防止未经授权的用户通过 Swagger API 访问 API 端点。
3.API 端点限制:限制对敏感或特权 API 端点的访问。例如,只允许具有特定权限的用户或角色访问这些端点。
4.API 文档 安全:确保 Swagger API 文档本身是受保护的,并且只有经过身份验证和授权的用户才能访问。这可以防止攻击者通过查看 Swagger 文档来发现未授权的 API。
5.定期漏洞扫描:定期对 API 进行漏洞扫描和安全性测试,以便及时发现和修复任何可能存在的未授权访问漏洞。
二、Atlassian Crowd RCE(CVE-2019-11580)
漏洞描述:
Atlassian Crowd和Atlassian Crowd Data Center都是澳大利亚Atlassian公司的产品。
Atlassian Crowd是一套基于Web的单点登录系统。该系统为多用户、网络应用程序和目录服务器提供验证、授权等功能。
Atlassian Crowd Data Center是Crowd的集群部署版。Atlassian Crowd和Crowd Data Center在其某些发行版本中错误地启用了pdkinstall开发插件,使其存在安全漏洞。
攻击者利用该漏洞可在未授权访问的情况下对Atlassian Crowd和Crowd Data Center安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。
修复建议:
设置访问/crowd/admin/uploadplugin.action的源ip。升级最新版本(3.5.0以上)。
三、Elasticsearch未授权访问漏洞
漏洞描述:
ElasticSearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布,是当前流行的企业级搜索引擎。Elasticsearch的增删改查操作全部由http接口完。由于Elasticsearch授权模块需要付费,所以免费开源的Elasticsearch可能存在未授权访问漏洞。该漏洞导致,攻击者可以拥有Elasticsearch的所有权限。可以对数据进行任意操作。业务系统将面临敏感数据泄露、数据丢失、数据遭到破坏甚至遭到攻击者的勒索。
修复建议:
1、限制IP访问,禁止未授权IP访问ElasticSearch端口(默认9200)。
2、设置nginx反向代理服务器,并设置http basic认证来实现elasticsearch的登录认证
四、Nacos未授权访问(CVE-2021-29441)
漏洞描述:
漏洞发生在nacos在进行认证授权操作时,会判断请求的user-agent是否为”Nacos-Server”,如果是的话则不进行任何认证。开发者原意是用来处理一些服务端对服务端的请求。但是由于配置的过于简单,并且将协商好的user-agent设置为Nacos-Server,直接硬编码在了代码里,导致了漏洞的出现。利用这个未授权漏洞,攻击者可以获取到用户名密码等敏感信息,还可以进行任意操作,包括创建新用户并进行登录后操作。
修复建议:
升级Nacos版本:及时关注Nacos官方发布的安全公告,并按照官方指导升级到最新版本。新版本通常会修复已知的安全漏洞,提高系统的安全性。
强化认证机制:建议对Nacos的认证机制进行加固,实施多因素认证或动态令牌验证等更为安全的认证方式。这样可以有效防止未经授权的用户通过漏洞非法访问Nacos服务。
五、ZooKeeper未授权访问
漏洞描述:
ZooKeeper未授权访问是分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。ZooKeeper未授权访问的默认开放端口是2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用ZooKeeper未授权访问,通过服务器收集敏感信息或者在ZooKeeper未授权访问集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
修复建议:
1、修改ZooKeeper默认端口,采用其他端口服务。
2、防火墙添加访问控制,配置服务来源地址限制策略。
3、增加ZooKeeper的认证配置。
六、Prometheus监控未授权访问
漏洞描述:
Prometheus监控未授权访问导致敏感信息泄露,泄露了系统执行的某些SQL语句或日志等信息。
修复建议:
Web做登录认证功能。
七、Apache Flink未授权访问
漏洞描述:
Apache Flink Dashboard默认没有用户权限认证,某些版本攻击者可以通过未授权的Flink Dashboard控制台直接上传木马jar包,可远程执行任意系统命令获取服务器权限。
修复建议:
限制访问权限:确保 Flink Web Dashboard 仅允许授权用户访问。
可以通过配置访问控制列表(ACL)或使用身份验证机制(如用户名/密码认证、Kerberos 认证等)来限制访问权限。
八、ClickHouse 未授权访问漏洞
漏洞描述:
Clickhouse是俄罗斯yandex公司于2016年开源的一个列式数据库管理系统。clickhouse-server会在8123端口上监控HTTP请求。若未加权限控制,则攻击者可构造恶意请求执行任意SQL语句,造成敏感信息泄漏或者远程命令执行漏洞。
修复建议:
限制访问权限。
九、Redis未授权访问
漏洞描述:
如果没有进行采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,这样将会将 Redis 服务暴露到公网上,如果在没有设置密码认证(一般为空)的情况下,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下,利用 Redis 自身的提供的config 命令,可以进行写文件操作,攻击者可以成功将自己的ssh公钥写入目标服务器的 /root/.ssh 文件夹的authotrized_keys 文件中,进而可以使用对应私钥直接使用ssh服务登录目标服务器、添加计划任务、写入Webshell等操作。/Redis因配置不当可以未授权访问,被攻击者恶意利用。攻击者无需认证访问到内部数据,可能导致敏感信息泄露,黑客也可以恶意执行flushall来清空所有数据。攻击者可通过EVAL执行Lua代码,或通过数据备份功能往磁盘写入后门文件,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器。
修复建议:
1、禁止使用root权限启动redis服务。
2、对redis访问启动密码认证。
3、添加IP访问限制。
十、Spring未授权访问
漏洞描述:
Actuator是Spring Boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。\Spring Boot Framework包含许多称为执行器的功能,可帮助您在将Web应用程序投入生产时监视和管理Web应用程序。它们旨在用于审计,运行状况和指标收集,它们还可能在配置错误时打开服务器的隐藏门。当SpringBoot应用程序运行时,它会自动将多个端点(例如'/health','/trace','/beans','/env'等)注册到路由进程中。对于SpringBoot1-1.4,它们无需身份验证即可访问,从而导致严重的安全问题。从Spring1.5版开始,默认情况下,除'/health'和'/info'之外的所有端点都被视为敏感和安全,但应用程序开发人员通常会禁用此安全性。
修复建议:
1、开启认证授权 引入spring-boot-starter-security依赖,在application.properties文件中开启security功能
2、禁用Actuator接口 禁用某个接口,以禁用env接口为例,则可设置如下: endpoints.env.enabled=false #禁用env接口 禁用所有接口,则可设置如下: endpoints.enabled=false
3、升级至安全版本。
十一、JavaMelody未授权访问漏洞
漏洞描述:
JavaMelody 是一个监控 Java 或者 JavaEE 应用的工具。JavaMelody 存在未授权访问漏洞,攻击者可以利用该漏洞获取服务器敏感信息。
修复建议:
对该页面设置访问权限。
十二、Swagger未授权访问
漏洞描述:
Swagger是一个规范且完整的框架,提供描述、生产、消费和可视化RESTful Web Service,Swagger可以根据代码自动生成API文档。如果生产环境中开启了Swagger功能且Swagger未开启认证功能,会导致API接口信息泄露,部分接口可能执行文件上传、查询用户信息等敏感操作,从而导致服务器被未授权访问或越权访问。
修复建议:
1、在生产环境中关闭Swagger的功能。
2、开启Swagger的认证和授权功能。
十三、Docker未授权访问
漏洞描述:
Docker Remote API 是一个取代远程命令行界面(rcli)的REST API。存在问题的版本分别为 1.3 和 1.6因为权限控制等问题导致可以通过 docker client 或者 http 直接请求就可以访问这个 API,通过这个接口,我们可以新建 container,删除已有 container,甚至是获取宿主机的 shell。
修复建议:
1、对2375端口做网络访问控制,如ACL控制,或者访问规则。
2、修改docker swarm的认证方式,使用TLS认证:Overview Swarm with TLS 和 Configure Docker Swarm for TLS这两篇文档,说的是配置好TLS后,Docker CLI 在发送命令到docker daemon之前,会首先发送它的证书,如果证书是由daemon信任的CA所签名的,才可以继续执行。
十四、Kibana 未授权访问漏洞
漏洞描述:
Kibana存在未授权访问漏洞,攻击者可以通过默认端口无需密码对数据库任意操作(增删改高危动作),而且可以远程访问数据库。
修复建议:
目前厂商已经发布了升级补丁以修复此安全问题,补丁下载链接:http://www.zkhuali.com/login?next=%2F
十五、Active MQ 未授权访问
漏洞描述:
ActiveMQ是一款流行的开源消息服务器。默认情况下,ActiveMQ服务是没有配置安全参数。恶意人员可以利用默认配置弱点发动远程命令执行攻击,获取服务器权限,从而导致数据泄露。
修复建议:
1、针对未授权访问,可修改conf/jetty.xml文件,bean id为securityConstraint下的authenticate修改值为true,重启服务即可。
2、针对弱口令,可修改conf/jetty.xml文件,bean id 为securityLoginService下的conf值获取用户properties,修改用户名密码,重启服务即可。
十六、prometheus未授权
漏洞描述:
Prometheus中文发音为普罗米修斯,它可以使用各种数学算法实现强大的监控需求,并且原生支持K8S的服务发现,能监控容器的动态变化。结合Grafana绘出漂亮图形,最终使用alertmanager或Grafana实现报警。由于网站运维人员疏忽或者配置不当,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露,metrics路径存在一些监控数据,不建议直接放到外部使用,应该限制访问权限。
修复建议:
1.限制访问路径
2.配置prometheus,只允许登陆后显示
十七、Hadoop YARN ResourceManager 未授权访问
漏洞描述:
该问题产生是由于管理员在配置失误所致,远程攻击者可以利用这个漏洞执行命令反弹shell等方法获取权限。由于服务器直接在开放了 Hadoop 机器 HDFS 的 50070 web 端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
修复建议:
1、如无必要,关闭 Hadoop Web 管理页面 2、开启身份验证,防止未经授权用户访问 3、设置“安全组”访问控制策略,将 Hadoop 默认开放的多个端口对公网全部禁止或限制可信任的 IP 地址才能访问包括 50070 以及 WebUI 等相关端口,详细端口列表如下: a)HDFS NameNode 默认端口 50070 DataNode 默认端口 50075 httpfs 默认端口14000 journalnode 默认端口 8480 b)YARN(JobTracker) ResourceManager 默认端口8088 JobTracker 默认端口 50030 TaskTracker 默认端口 50060 c)Hue 默认端口 8080 d)YARN(JobTracker) master 默认端口 60010 regionserver 默认端口60030 e)hive-server2 默认端口 10000 f)spark-jdbcserver 默认端口 10003
十八、cadvisor未授权访问
漏洞描述:
cadvisor是一个谷歌开发的容器监控工具,它被内嵌到k8s中作为k8s的监控组件。默认情况下没有授权验证措施。攻击者可以直接未授权访问cAdvisor容器监控面板,获取相应Docker敏感信息
修复建议:
1、屏蔽页面,不允许外部访问
2、开启cAdvisor的认证
十九、Rsync 未授权访问漏洞
漏洞描述:
rsync是Linux下一个远程同步工具,可快速同步多台主机中的文件和目录,如果配置不当,导致任何人可未授权访问上传/下载服务器文件。默认端口873
修复建议:
1、访问控制,设置host allow,限制访问主机IP;
2、权限控制,设置read only=yes,模块设置为只读;
3、访问认证,设置auth、secrets,认证成功才能调用服务;
4、模块隐藏,设置list,将模块隐藏起来。
二十、Arcgis rest services未授权访问
漏洞描述:
ArcGis是“计算机制图”应用,包含了全球范围内的底图、地图数据、应用程序,以及可配置的应用模板和开发人员使用的 GIS 工具和 API,可用于创建 Web 地图、发布GIS服务、共享地图、数据和应用程序,以及管理组织的内容和多个用户。 REST是一个Web应用程序框架。ArcGIS REST API提供了简单、开放的接口来访问和使用ArcGIS Server发布的服务。使用ArcGIS REST API通过URL,可以获取和操作每一个服务中的所有资源和操作。使用REST API就是通过URL来向GIS服务器获取资源的操作。
修复建议:
在/manager路径下的进行安全性配置,详细可参考: http://www.it165.net/admin/html/201402/2412.html
3167
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
