報告編號:B6-2020-031102
更新日期:2020-03-11
0x01 漏洞背景
2020年3月11日,360CERT監測發現ShardingSphere官方發佈4.0.1版本的更新公告,當攻擊者在後臺管理處提交惡意 yaml ,會被解析從而造成代碼執行
ShardingSphere是一套開源的分佈式數據庫中間件解決方案組成的生態圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(計劃中)這3款相互獨立的產品組成。 他們均提供標準化的數據分片、分佈式事務和數據庫治理功能,可適用於如Java同構、異構語言、雲原生等各種多樣化的應用場景。
Apache ShardingSphere UI是Apache ShardingSphere的圖形界面版產品
0x02 風險等級
360CERT對該漏洞進行評定
360CERT建議廣大用戶及時更新ShardingSphere。做好資產 自查/自檢/預防 工作,以免遭受攻擊。
0x03 影響版本
- Apache ShardingSphere&UI <= 4.0.0
0x04 漏洞證明
利用默認用戶名密碼進行登錄 admin/admin
0x05 修復建議
- 臨時修補方案:修改/conf/application.properties的默認用戶名密碼
- 官方修補方案: 更新至最新版本,https://github.com/apache/incubator-shardingsphere
0x06 產品側解決方案
360城市級網絡安全監測服務
360安全大腦的QUAKE資產測繪平臺通過資產測繪技術手段,對該類 漏洞/事件 進行監測,請用戶聯繫相關產品區域負責人獲取對應產品。
360AISA全流量威脅分析系統
360AISA基於360海量安全大數據和實戰經驗訓練的模型,進行全流量威脅檢測,實現實時精準攻擊告警,還原攻擊鏈。
目前產品具備該漏洞/攻擊的實時檢測能力。
0x07 時間線
2020-03-09 官方發佈更新公告
2020-03-11 360CERT發佈預警
0x08 參考鏈接
- https://github.com/apache/incubator-shardingsphere/releases
分享到:
閱讀更多 360CERT 的文章
