Apache-Flink 暴露外网远程代码执行预警
2019-11-13 21:32

报告编号:B6-2019-111302

报告来源:360-CERT

报告作者:360-CERT

更新日期:2019-11-1

0x00 事件背景

2019年11月13日,360CERT检测到业内安全厂商发布了 Apache-Flink 远程代码执行漏洞预警

经过360CERT,分析研判。该次事件并不属于安全漏洞。Flink作为业内流行的流式处理框架,允许用户上传代码进行执行是符合其设计逻辑的。但用户不应该把自身的 Flink 集群暴露于公网之中。

由于 Flink 自身 Dashboard 默认无用户认证设计,360CERT判断该事件危害严重。影响面广泛。

360CERT提醒广大 Flink 用户,立即做好环境网络配置自查工作。

0x01 事件证明

由于用户代码的多变性,形式多种多样

0x02 影响版本

因为 Flink 其框架的设计性,推测应该全版本受到影响

已测试版本 1.9.1 (最新版2019-11-13)

0x03 修复建议

  • 保证 Flink 集群只能被可信任端点访问
  • 禁止公网对内8081(Flink默认端口)的流量
  • 配置相关的认证策略

0x04 时间线

2019-11-13 360CERT检测到业内安全公司预警

2019-11-13 360CERT发布预警

0x05 参考链接

  1. Apache FLink未授权上传jar包远程代码执行漏洞预警