XXL-JOB 針對未授權訪問導致遠程命令執行漏洞的聲明

2020-10-31 IT實戰聯盟

對於日前 XXL-JOB 被各大雲廠商報出存在遠程命令執行漏洞的情況,XXL-JOB 作者表示此問題本質上不是「漏洞」,因為官網版本已提供鑑權組件,開啟即可防護。具體回應如下:

該問題本質上不屬於「漏洞」,官網版本提供了鑑權組件,開啟即可進行防護。

該問題類似於將一臺 Mysql、Redis 實例,不設置密碼並開放給公網,嚴格來說不能因此說 Mysql、Redis 有漏洞,只需要設置密碼即可。

針對此問題,XXL-JOB 作者提供了以下安全防護策略:

  1. 開啟 XXL-JOB 自帶的鑑權組件:官方文檔中搜索 「xxl.job.accessToken」 ,按照文檔說明啟用即可。
  2. 埠防護:及時更換默認的執行器埠,不建議直接將默認的 9999 埠開放到公網。
  3. 埠訪問限制:通過配置安全組限制只允許指定 IP 才能訪問執行器 9999 埠。

作者還表示後續迭代版本將默認開啟鑑權組件,同時重點提升安全性。

根據作者對「漏洞」的分析,問題核心是 GLUE 模式。XXL-JOB 通過「GLUE模式」支持多語言以及腳本任務,該模式任務特點如下:

  • 多語言支持:支持 Java、Shell、Python、NodeJS、PHP、PowerShell……等類型。
  • Web IDE:任務以源碼方式維護在調度中心,支持通過 Web IDE 在線開發、維護。
  • 動態生效:用戶在線通過 Web IDE 開發的任務代碼,遠程推送至執行器,實時加載執行。

如上圖所示,如果在 GLUE 模式任務代碼中寫入攻擊代碼,推送到執行器執行即可造成遠程攻擊。(問題點)

由於 XXL-JOB 官方版本原生自帶鑑權組件,開啟後可保障系統底層通訊安全。XXL-JOB 作者表示正常情況下調度中心與執行器底層通訊是安全的,不存在遠程命令漏洞。但如果執行器未開啟訪問令牌,會導致無法識別並攔截非法的調度請求。惡意請求方可以藉助 GLUE 模式,推送惡意攻擊代碼實現遠程攻擊。如下圖所示:

因此,XXL-JOB 作者認為該問題本質上不屬於 「漏洞」,官網版本提供了鑑權組件,開啟即可進行防護。

XXL-JOB 遠程命令執行漏洞的部分通告:

稿源:
https://mp.weixin.qq.com/s/jzXIVrEl0vbjZxI4xlUm-g

相關焦點

  • 常見未授權訪問漏洞總結
    常見的未授權訪問漏洞:Redis 未授權訪問漏洞MongoDB 未授權訪問漏洞Jenkins 未授權訪問漏洞Memcached 未授權訪問漏洞JBOSS 未授權訪問漏洞VNC 未授權訪問漏洞Docker 未授權訪問漏洞ZooKeeper 未授權訪問漏洞Rsync 未授權訪問漏洞Atlassian
  • 每日漏洞|rsync未授權訪問
    01 漏洞描述rsync是Linux/Unix下的一個遠程數據同步工具,可通過LAN/WAN快速同步多臺主機間的文件和目錄,默認運行在873埠。由於配置不當,導致任何人可未授權訪問rsync,上傳本地文件,下載伺服器文件。 rsync未授權訪問帶來的危害主要有兩個: 一是造成了嚴重的信息洩露;二是上傳腳本後門文件,遠程命令執行。
  • CVE-2020-14882&14883weblogic未授權命令執行漏洞復現
    此處漏洞均存在於 WebLogic 的控制臺中。該組件為 WebLogic 全版本自帶組件,並且該漏洞通過 HTTP 協議進行利用。CVE-2020-14882允許未授權的用戶繞過管理控制臺的權限驗證訪問後臺,CVE-2020-14883允許後臺任意用戶通過HTTP協議執行任意命令。
  • 企業中常用的分布式任務調度平臺XXL-JOB
    腳本任務:支持以GLUE模式開發和運行腳本任務,包括Shell、Python、NodeJS、PHP、PowerShell等類型腳本;命令行任務:原生提供通用命令行任務Handler(Bean任務,"CommandJobHandler");業務方只需要提供命令行即可;任務依賴:支持配置子任務依賴,當父任務執行結束且執行成功後將會主動觸發一次子任務的執行
  • 分布式調度系統XXL-JOB安裝和簡單使用
    執行運行以下兩個命令即可安裝 jdk8 版本的。國內的遠程倉庫地址,不然下載 maven 依賴的時候會很慢。`application.properties`,修改裡面的資料庫連結和密碼即可,如果考慮調度系統的調用的安全性可以加上, xxl.job.accessToken= 參數# 修改完成之後,然後進入到 /xxl-job/xxl-job-admin/target 目錄下執行以下命令來啟動 xxl-job /usr/local/java/bin/java -classpath ./:.
  • docker安裝xxl-job-admin
    1、下載鏡像docker pull xuxueli/xxl-job-admin:2.2.0/blob/2.2.0/doc/db/tables_xxl_job.sql4、配置host5、啟動鏡像docker run -e PARAMS="--spring.datasource.url=jdbc:mysql://jeecg-boot-mysql:3306/xxl_job?
  • 關於深信服終端檢測平臺(EDR)存在遠程命令執行漏洞的安全公告
    一、事件背景 2020年8月18日,國家信息安全漏洞共享平臺(CNVD)收錄了深信服終端檢測平臺(EDR)遠程命令執行漏洞(CNVD-2020-46552)。攻擊者利用該漏洞可遠程執行系統命令,獲得目標伺服器的權限。
  • Spring Boot 集成 XXL-JOB 任務調度平臺
    Spring Boot 集成 XXL-JOBSpring Boot 集成 XXL-JOB 主要分為以下兩步:配置運行調度中心(xxl-job-admin)配置運行執行器項目(xxl-job-executor)
  • 一次線上 xxl-job 服務異常排查分析
    問題描述某天收到頻繁的告警郵件,定時任務調度失敗,查看 xxl-job 的執行器列表是空的,但是服務又顯示健康,查看歷史任務執行記錄發現執行器是依次遞減,由於是線上服務,只能先重啟,然後線程日誌也沒有,同事嘗試訪問服務的健康檢查接口,發現健康檢查接口訪問不通,應該是服務已經掛了
  • 三千字帶你搞懂XXL-JOB任務調度平臺
    毫無疑問elasticjob和xxl-job都是非常優秀的技術框架,接下來我們進一步對比討論,探索一下為什麼更多公司會選擇xxl-job。這就使很多企業選擇xxl-job做調度平臺。首先到github拉取xxl-job源碼到本地。
  • 3千字帶你搞懂XXL-JOB任務調度平臺
    xxl-job則相反,是通過一個中心式的調度平臺,調度多個執行器執行任務,調度中心通過DB鎖保證集群分布式調度的一致性,這樣擴展執行器會增大DB的壓力,但是如果實際上這裡資料庫只是負責任務的調度執行。但是如果沒有大量的執行器的話和任務的情況,是不會造成資料庫壓力的。實際上大部分公司任務數,執行器並不多(雖然面試經常會問一些高並發的問題)。
  • 3千字帶你搞懂XXL - JOB任務調度平臺
    毫無疑問elasticjob和xxl-job都是非常優秀的技術框架,接下來我們進一步對比討論,探索一下為什麼更多公司會選擇xxl-job。首先先介紹一下xxl-job,這是出自大眾點評許雪裡(xxl就是作者名字的拼音首字母)的開源項目,官網上介紹這是一個輕量級分布式任務調度框架,其核心設計目標是開發迅速、學習簡單、輕量級、易擴展。
  • rsync未授權訪問漏洞利用復現
    同時支持通過rsync協議、ssh協議進行遠程文件傳輸。常被用於在內網進行原始碼的分發及同步更新,因此使用人群多為開發人員。其中rsync協議默認監聽873埠,而一般開發人員安全意識薄弱的情況下,如果目標開啟了rsync服務,並且沒有配置ACL或訪問密碼,而rsync默認是root權限,我們將可以讀寫目標伺服器文件。
  • 【網絡安全】關於深信服終端檢測平臺(EDR)存在遠程 命令執行高危漏洞的預警通報
    網絡安全預警通報近日,國家信息安全漏洞共享平臺(CNVD)公布了深信服終端檢測平臺(EDR)遠程命令執行高危漏洞,攻擊者利用該漏洞可遠程執行系統命令,獲得目標伺服器的權限。01漏洞情況終端檢測響應平臺(EDR)是由深信服科技股份有限公司開發的終端安全解決方案。EDR管理平臺支持統一化的終端資產管理、終端病毒查殺、終端合規性檢查和訪問控制策略管理,支持對安全事件的一鍵隔離處置,以及對熱點事件IOC的全網威脅定位。絕大多數的EDR管理平臺部署於內網環境中,少數系統可以通過外網地址訪問。
  • Intellian Satellian Aptus Web遠程命令執行漏洞 CVE-2020-7980
    轉載:騰訊御見威脅情報中心【背景】近日,Intellian Satellian Aptus Web控制臺被曝光存在遠程代碼執行漏洞。Intellian Aptus Web 1.24之前的版本,允許遠程攻擊者通過JSON數據中的Q欄位向/cgi-bin/libagent.cgi 執行任意OS命令。部分情況下需要有效的認證cookie才能登錄並觸發漏洞【漏洞詳情】Intellian Satellian Aptus Web控制臺被曝光存在遠程代碼執行漏洞。
  • Redis未授權訪問詳解(轉載)
    本文作者初入安全行業,入職行業某雲安全公司,得到了職業導師的指點,從基礎入手學習網絡安全,此文章是作者復現redis未授權訪問漏洞的筆記,從漏洞介紹—利用方法—日誌分析—安全配置進行深入的分析和學習,僅以此文分享給更多的同樣在路上的安全行業從業者本篇主要從redis未授權訪問入手,還原一些黑客的攻擊場景,介紹一些常用的攻擊方法和安全知識。
  • Webmin遠程代碼執行漏洞曝光,允許黑客以root權限執行任意命令
    據外媒報導,在最近的DEFCON安全會議上,研究人員披露了在Webmin中發現的後門機制,包含隱藏一年多的遠程代碼執行漏洞,允許黑客遠程執行任意命令,Webmin 1.882到1.921版本受影響。圖片來源於pixabayWebmin是一個用於管理Linux和UNIX系統的基於Web的開源界面,該後門機制允許黑客在運行Webmin的計算機上以root權限遠程執行惡意命令,利用受攻擊計算機對Webmin管理系統發動攻擊
  • 分布式任務調度平臺-XXL-JOB實戰圖文代碼詳解
    一、源碼下載地址:下載xxl-job源碼xxl-job源碼地址:https://github.comSampleXxlJob.java(調度執行類)package www.tonghao.com.xxl.job.executor.service.jobhandler;import com.xxl.job.core.biz.model.ReturnT;import com.xxl.job.core.handler.IJobHandler
  • 華碩路由器曝Root權限命令執行漏洞
    華碩路由器曝Root權限命令執行漏洞 一名國外安全研究人員本月6日在網上披露,多款華碩路由器的固件中存在嚴重漏洞,該漏洞允許執行未授權的命令,並可能存在於所有當前版本的華碩路由器固件中。目前,已經有一個漏洞利用程序發布。
  • 比xxl-job 優秀的分布式定時任務調度框架
    很多朋友都了解過xxl-job,這是一款非常優秀的分布式定時任務調度框架。今天給大家帶來的是另一款開源的分布式調度與計算框架。是的不僅僅是任務調度還包含計算。執行模式豐富:支持單機、廣播、Map、MapReduce四種執行模式,其中Map/MapReduce處理器能使開發者寥寥數行代碼便獲得集群分布式計算的能力。