ApacheDruid代码执行(CVE-2021-25646)漏洞复现

ApacheDruid是一个专为实时数据分析而设计的高效数据库。
支持快速数据摄取、高查询性能和持续稳定运行。
这包括实时点击流分析、网络监控、服务指标存储,特别适合处理事件驱动的数据。
1月17日,阿里云安全团队报告ApacheDruid存在严重漏洞(CVE-2021-25646)。
该漏洞的产生是因为攻击者可以使用恶意的JSON输入通过函数来​​控制Rhino引擎执行的JavaScript代码。
参数,然后调用系统命令。
在实验环境中,我们设置了目标机192.168.10.1和攻击机192.168.10.130来演示漏洞复现。
由于该漏洞是无回显的命令执行,因此通过检查服务器返回的状态码来判断攻击效果,如果执行成功,则返回200卢比,如果执行失败,则退还500卢比。
测试中可以使用nc命令反弹shell,攻击者在被攻击机器上设置监听器(nc-lvvp2333)等待连接。
首先,确保可以在192.168.10.1:8888(Druid默认端口)正确访问该服务。
然后,使用burp工具创建包含恶意请求的包并发送。
请求成功后,服务器返回状态码200,证明攻击成功,我们收到了反弹shell。
针对该漏洞,用户建议立即更新至官方安全补丁,以避免潜在的安全风险。
此外,系统还采用严格的输入验证和权限控制,限制敏感操作的执行,增强系统的安全能力。

阿里又出事了!发现网络安全漏洞,不上报工信部,却通知外国机构

突然!工信部宣布暂停与阿里云信息共享平台合作。
怎么了?阿里云承诺了什么?要理解这些问题,您首先需要了解ApacheLog4j2组件。
ApacheLog4j2组件是一个基于Java语言的开源日志框架,被广泛应用于业务系统开发中。
11月24日,阿里云发现ApacheLog4j2存在安全漏洞。
不过,阿里云并没有立即向工信部报告该漏洞,而是率先向Apache软件基金会披露了该漏洞。
Apache软件基金会是一个专门为支持开源软件项目而成立的非营利组织,于1999年6月在美国特拉华州注册。
阿里巴巴披露该漏洞后,奥地利和新西兰官方计算机应急小组率先对该漏洞发出警告。
中国工业和信息化部在收到ApacheLog4j2组件的报告后才发现该严重安全漏洞。
我们是一家专业的网络安全组织。
根据工业和信息化部、国家网信办、公安部联合发布的《网络产品安全漏洞管理规定》,网络产品提供者应当将相关漏洞信息报送工业部。
工信部于12月9日在距离阿里不远的地方发现了上述漏洞。
距离首次发现云已经过去了15天。
值得注意的是,该漏洞被认为是“计算机历史上最大的漏洞”。
不少云计算业内人士都指出,这是一个非常基础的日志库漏洞。
由于该组件的大量使用,影响是巨大的,几乎每个Java程序都会涉及到。
工信部指出,该漏洞属于高危漏洞,由于设备可被远程控制,可能造成敏感信息被盗、设备服务中断等严重危害。
有关部门和公众密切关注ApacheLog4j2组件漏洞补丁的发布情况,排查自身相关系统中ApacheLog4j2组件的使用情况,及时升级组件版本,降低网络安全风险。
看完上面的内容大家就知道阿里云的承诺是什么了!根据工信部要求,发现漏洞的网络产品提供商必须在两天内向工信部报告相关漏洞信息。
这些要求一般是因为如果早发现、早知道,就可以及时预防和解决漏洞,从而避免损失。
相反,知道得越晚,损失就越大。
这个ApacheLog4j2漏洞最初几乎影响了整个世界。
本来我国应该在11月24日就可以处理了,但是15天内最终有多少设备被“渗透”?因此,工信部宣布暂停与阿里云信息共享平台的合作也是理所当然的。
阿里云发现ApacheLog4j2组件存在严重安全漏洞后,工信部未能及时向电信主管部门报告,有效阻碍了工信部网络运行。
他们表示无法申请。
安全威胁和漏洞管理。
经研究,阿里云被暂停上述合作单位六个月的资格。
暂停期满后,阿里云将根据整改情况研究恢复上述合作单位。

阿里云回应未及时向工信部相关平台报告漏洞:未意识到严重性

阿里云方面表示,近期阿里云研发工程师发现Log4j2模块存在安全漏洞,并按照行业惯例,通过电子邮件向Apache开源社区报告了该问题,寻求软件开发者的帮助。
Apache开源社区已确认这是一个安全漏洞,并已在全球范围内发布了修复程序。
随后,该漏洞被外界确认为全球重大漏洞。
Log4j2是开源社区Apache下提供的开源日志组件,据报道被世界各地的公司和组织广泛用于各种业务系统的开发。
12月17日,工信部发布关于ApacheLog4j2组件重大安全漏洞的网络安全风险预警。
随后,工信部立即组织相关专业网络安全机构开展漏洞风险分析,聚集阿里云、网络安全企业和专业网络安全机构进行研判,并督促Apache软件基金会迅速行动。
已修复漏洞并向行业单位发出风险提示。
需要注意的是,根据《网络产品安全漏洞管理规定》,网络产品供应商必须在2日内向工业和信息化部网络安全风险与漏洞信息共享平台报告相关漏洞信息。