【威胁预警】Apache Flink任意Jar包上传预警通告

预警编号:NS-2019-0048

2019-11-14

1

概述

近日，有研究员公开了Apache Flink未授权上传jar包的安全风险，攻击者利用该隐患可在未经授权的情况下，上传包含恶意代码的jar包，从而控制目标服务器。

Apache Flink是开源流处理框架，可用于对流数据进行分布式处理，在大数据领域中应用广泛。jar包上传属于Flink的正常业务功能，但是Flink的Dashboard在默认状态下无需认证即可访问，如果攻击者探测到目标存在Apache Flink Dashboard，利用该威胁可获取服务器权限。利用成功的截图如下：

SEE MORE →

2影响范围

受影响版本

• Apache Flink <= 1.9.1

注：由于Flink的功能特性，推测该安全隐患影响全版本，绿盟科技安全预警团队已在最新的1.9.1版本上测试成功。

3检测方法

3.1 版本检测

用户可通过检查版本的方法判断当前系统是否受影响，进入Flink安装目录的bin文件夹下，执行如下命令，即可获得当前Flink的版本信息。

版本截图如下：

若当前版本在受影响范围内，则可能存在风险。

3.2 访问探测

用户可尝试使用未授权的ip访问Dashboard，如果能成功访问，则存在风险。访问成功的截图如下：

4防护方法

4.1 临时防护建议

目前官方暂未发布针对此威胁的修复方案，相关用户可采取以下临时防护建议进行防护：

1. 禁止对公网开放Flink；

2. 在内网中限制对8081端口（Flink Dashboard默认端口）的访问；

3. 为对Flink的访问增加认证策略。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。