Apache SkyWalking 爆SQL注入漏洞,腾讯安全发布解决方案

2020-06-20 21:47:07
腾讯安全威胁情报中心监测到Apache SkyWalking发布更新,修复了一个SQL注入漏洞(编号:CVE-2020-9483)。远程攻击者可通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入攻击,成功利用此漏洞可造成敏感数据泄漏。该漏洞等级为高危,腾讯安全专家建议相关企业尽快修复。

腾讯安全威胁情报中心监测到Apache SkyWalking发布更新,修复了一个SQL注入漏洞(编号:CVE-2020-9483)。远程攻击者可通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入攻击,成功利用此漏洞可造成敏感数据泄漏。该漏洞等级为高危,腾讯安全专家建议相关企业尽快修复。

 

【漏洞描述】

Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。

 

腾讯安全团队监测到Apache SkyWalking发布更新,修复了一个SQL注入漏洞。远程攻击者可以通过Apache SkyWalking默认开放的未授权GraphQL接口构造恶意请求包进行注入,成功利用此漏洞可造成敏感数据泄漏。鉴于该漏洞影响较大,建议企业尽快修复。

 

【风险等级】高危

 

【影响范围】

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0


【腾讯安全解决方案】

1.腾讯云防火墙已支持拦截防御Apache SkyWalking SQL注入漏洞的攻击利用。


2.腾讯主机安全(云镜)已支持检测Apache SkyWalking SQL注入漏洞

  

3.腾讯T-Sec高级威胁检测系统(御界)已支持检测Apache SkyWalking SQL注入漏洞


4.腾讯T-Sec网络资产风险监测系统(御知)已支持检测企业资产是否存在Apache SkyWalking SQL注入漏洞。


5.腾讯T-Sec Web应用防火墙已支持拦截防御Apache SkyWalking以及其他通用SQL注入漏洞攻击。


【处置建议】

腾讯安全专家建议用户尽快升级Apache SkyWalking8.0版,升级链接:https://github.com/apache/skywalking/releases

如暂时无法升级,作为缓解措施,建议不要将Apache SkyWalkingGraphQL接口暴露在外网,或在GraphQL接口之上增加一层认证。

推荐企业用户采取腾讯安全产品检测并拦截利用Apache SkyWalking SQL注入漏洞的攻击。


【参考链接】

https://www.openwall.com/lists/oss-security/2020/06/15/1 

最新资讯