![CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告](http://p2.ttnews.xyz/loading.gif)
报告编号:B6-2020-031102
更新日期:2020-03-11
0x01 漏洞背景
2020年3月11日,360CERT监测发现ShardingSphere官方发布4.0.1版本的更新公告,当攻击者在后台管理处提交恶意 yaml ,会被解析从而造成代码执行
ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(计划中)这3款相互独立的产品组成。 他们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、云原生等各种多样化的应用场景。
Apache ShardingSphere UI是Apache ShardingSphere的图形界面版产品
0x02 风险等级
360CERT对该漏洞进行评定
![CVE-2020-1947: Apache ShardingSphere&UI远程代码执行漏洞通告](http://p2.ttnews.xyz/loading.gif)
360CERT建议广大用户及时更新ShardingSphere。做好资产 自查/自检/预防 工作,以免遭受攻击。
0x03 影响版本
- Apache ShardingSphere&UI <= 4.0.0
0x04 漏洞证明
利用默认用户名密码进行登录 admin/admin
0x05 修复建议
- 临时修补方案:修改/conf/application.properties的默认用户名密码
- 官方修补方案: 更新至最新版本,https://github.com/apache/incubator-shardingsphere
0x06 产品侧解决方案
360城市级网络安全监测服务
360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类 漏洞/事件 进行监测,请用户联系相关产品区域负责人获取对应产品。
360AISA全流量威胁分析系统
360AISA基于360海量安全大数据和实战经验训练的模型,进行全流量威胁检测,实现实时精准攻击告警,还原攻击链。
目前产品具备该漏洞/攻击的实时检测能力。
0x07 时间线
2020-03-09 官方发布更新公告
2020-03-11 360CERT发布预警
0x08 参考链接
- https://github.com/apache/incubator-shardingsphere/releases
閱讀更多 360CERT 的文章