OpenTSDB 2.4.0及更低版本中发现了一个远程执行代码漏洞。2020年12月16日,NVD分配此漏洞CVE编号CVE-2020-35476。深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告。
漏洞名称 : OpenTSDB远程代码执行漏洞(CVE-2020-35476)
威胁等级 : 高危
影响范围 : OpenTSDB 2.4.0及更低版本
漏洞类型 : 远程代码执行
利用难度 : 简单
漏洞分析
1 OpenTSDB 介绍
OpenTSDB是一个基于HBase的分布式、可伸缩的开源时序数据库。OpenTSDB由TSD(Time Series Daemon)和一系列命令行工具组成。TSD用于接收用户请求并将时序数据存储在HBase中。TSD之间是相互独立的,没有master,也没有共享状态,因此可以根据系统的负载情况任意进行扩展。
OpenTSDB的主要用途是做监控系统;譬如收集大规模集群(包括网络设备、操作系统、应用程序)的监控数据并进行存储,查询。
2 漏洞描述
OpenTSDB 2.4.0及更低版本参数中存在远程执行代码漏洞(其他参数可能也容易受到攻击),远程攻击者通过此参数,执行精心构造的任意代码。
当通过yrange参数传递有效负载时,会将其写入/tmp目录中的gnuplot文件,然后由OpenTSDB通过/src/mygnuplot.sh 脚本执行gnuplot文件。
虽然/src/tsd/GraphHandler.java通过过滤反引号来阻止命令注入,但是还是能够绕过,将命令写入gnuplot文件:
3 漏洞复现
访问OpenTSDB服务器的接口,传入构造的参数,将命令写入gnuplot文件。
影响范围
【影响版本】
OpenTSDB 2.4.0及更低版本
解决方案
1 检测方案
访问部署OpenTSDB组件默认的4242端口,点击version,显示当前OpenTSDB版本,若是2.4.0或更低版本,则此漏洞存在。
或者访问OpenTSDB组件默认的4242口下的api/version,也可得到版本号。
2 修复方案
目前厂商还未发布升级补丁修复漏洞,请受影响用户及时关注更新官方补丁。官方链接如下:https://github.com/OpenTSDB/opentsdb/releases
3 深信服解决方案
【深信服下一代防火墙】预计2020年12月18日可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。
【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。
【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。
【深信服云镜】预计12月18日完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
时间轴
2020/12/16 NVD发布通告
2020/12/17 深信服千里目安全实验室发布漏洞通告文章
参考链接
1. https://github.com/OpenTSDB/opentsdb/issues/2051
2. http://opentsdb.net/
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】OpenTSDB远程代码执行漏洞通告(CVE-2020-35476)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论