Apache Skywalking GraphQL 注入与远程代码执行漏洞风险通告

2021-02-07 13:47:56
2021年2月7日,Apache Skywalking 官方发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。

202127日,Apache Skywalking 官方发布安全更新公告,修复了Apache Skywalking SQL注入与远程代码执行漏洞。

 

漏洞描述:

Apache SkyWalking的某GraphQL功能存在SQL注入漏洞,攻击者可以构造恶意请求查询数据库敏感信息,或利用H2数据库特性进一步造成远程代码执行漏洞。

 

Apache SkyWalking 是一款应用性能监控(APM)工具,对微服务、云原生和容器化应用提供自动化、高性能的监控方案。其官方网站显示,大量的国内互联网、银行、民航等领域的公司在使用此工具。

 

漏洞等级:高危

 

受影响的版本:

Apache Skywalking < v8.4.0

 

安全版本:

Apache Skywalking = v8.4.0


腾讯安全网络空间测绘:

腾讯安全网络空间测绘结果显示,Apache SkyWalking组件主要应用在中国、美国、印度等地,中国占比最高(87.77%)、其次是美国(5.70%)、印度(1.55%)。在中国大陆地区,浙江、北京、上海、广东四省市位居前列,占比超过90%。

腾讯安全网络空间测绘平台通过空间测绘技术,可针对该类漏洞进行监测与响应,如有需要可联系 es@tencent.com 了解产品详情。


漏洞复现与验证:

SkyWalking中某Graphql接口存在SQL注入漏洞,可导致数据库信息泄漏。此漏洞配合H2数据库还会导致 RCE 漏洞。
腾讯安全团队已对此漏洞进行了复现,成功执行任意SQL语句。


漏洞修复建议:

1、腾讯安全专家建议受影响的用户尽快升级Apache Skywalking到安全版本。

2、将默认的h2数据库替换为其它支持的数据库。


腾讯安全解决方案:

1.腾讯T-Sec主机安全(云镜)已支持Apache Skywalking GraphQL注入与远程代码执行漏洞进行检测。
2.腾讯T-Sec漏洞扫描服务已支持检测全网资产是否存在Apache Skywalking GraphQL注入与远程代码执行漏洞,并提醒用户修复。

3.腾讯T-Sec云防火墙已支持对Apache Skywalking GraphQL注入与远程代码执行漏洞的检测和拦截。腾讯云防火墙内置的入侵防御功能,使用虚拟补丁机制防御最新的漏洞利用。

4.腾讯T-Sec Web应用防火墙已支持对Apache Skywalking GraphQL注入与远程代码执行漏洞的防护。

 

参考链接:

https://skywalking.apache.org/events/release-apache-skywalking-apm-8-4-0/

https://github.com/apache/skywalking/releases/tag/v8.4.0


扫描以下二维码关注“腾讯安全威胁情报中心”公众号,掌握最新的网络安全威胁情报。

最新资讯