Apache-Flink 暴露外网远程代码执行预警
2019-11-13 21:32
报告编号:B6-2019-111302
报告来源:360-CERT
报告作者:360-CERT
更新日期:2019-11-1
0x00 事件背景
2019年11月13日,360CERT检测到业内安全厂商发布了 Apache-Flink 远程代码执行漏洞预警。
经过360CERT,分析研判。该次事件并不属于安全漏洞。Flink作为业内流行的流式处理框架,允许用户上传代码进行执行是符合其设计逻辑的。但用户不应该把自身的 Flink 集群暴露于公网之中。
由于 Flink 自身 Dashboard 默认无用户认证设计,360CERT判断该事件危害严重。影响面广泛。
360CERT提醒广大 Flink 用户,立即做好环境网络配置自查工作。
0x01 事件证明
由于用户代码的多变性,形式多种多样
0x02 影响版本
因为 Flink 其框架的设计性,推测应该全版本受到影响
已测试版本 1.9.1 (最新版2019-11-13)
0x03 修复建议
- 保证 Flink 集群只能被可信任端点访问
- 禁止公网对内8081(Flink默认端口)的流量
- 配置相关的认证策略
0x04 时间线
2019-11-13 360CERT检测到业内安全公司预警
2019-11-13 360CERT发布预警