【漏洞通告】JumpServer 远程代码执行漏洞

  • A+
所属分类:安全漏洞

漏洞名称JumpServer 远程代码执行漏洞

威胁等级 : 高危

影响范围 JumpServer < v2.6.2

JumpServer < v2.5.4

JumpServer < v2.4.5

JumpServer = v1.5.9

漏洞类型 代码执行

利用难度 : 一般


漏洞分析


组件介绍

Jumpserver 是全球首款完全开源、符合 4A 规范(包含认证Authentication 、授权 Authorization、账号 Accounting 和审计 Auditing)的运维安全审计系统,Jumpserver 通过软件订阅服务或者软硬件一体机的方式,向企业级用户交付多云环境下更好用的堡垒机。与传统堡垒机相比, Jumpserver 采用了分布式架构设计,支持多云环境并可灵活扩展。资产管理方面, Jumpserver 无并发和资产数量限制,支持水平扩容。Jumpserver 采用了业界领先的容器化部署方式,并且提供体验极佳的 Web Terminal 。Jumpserver 还可实现基于 Web 的文件传输,并且支持用户将运维审计录像保存在云端。


2 漏洞描述

2020年1月15日,深信服安全团队监测到JumpServer 官方发布了一则漏洞安全通告,通告披露了JumpServer 组件存在远程代码执行漏洞,漏洞等级:高危。该漏洞由于未对JumpServer 某些接口做授权限制,攻击者可利用该漏洞在未授权情况下,构造恶意数据获取服务器敏感信息,最终可造成服务器敏感性信息泄露,或者通过执行相关API操作执行任意代码,最终可控制其中所有机器。


影响范围


目前受影响的JumpServer 版本:

JumpServer < v2.6.2

JumpServer < v2.5.4

JumpServer < v2.4.5

JumpServer = v1.5.9


解决方案


1 官方修复建议


当前官方已发布受影响版本的对应补丁,建议受影响的用户及时更新官方的安全补丁。链接如下:

https://github.com/jumpserver/jumpserver/blob/master/README.md



2 临时修复建议

该临时修复建议存在一定风险,建议用户可根据业务系统特性审慎选择采用临时修复方案:

修改 Nginx 配置文件屏蔽漏洞以下接口:

/api/v1/authentication/connection-token/

/api/v1/users/connection-token/

Nginx 配置文件位置:

# 社区老版本/etc/nginx/conf.d/jumpserver.conf# 企业老版本jumpserver-release/nginx/http_server.conf# 新版本在jumpserver-release/compose/config_static/http_server.conf

修改 Nginx 配置文件实例:


### 保证在 /api 之前 和 / 之前location /api/v1/authentication/connection-token/ {   return 403;}location /api/v1/users/connection-token/ {   return 403;}### 新增以上这些location /api/ {    proxy_set_header X-Real-IP $remote_addr;    proxy_set_header Host $host;    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;    proxy_pass http://core:8080;  }


3 深信服解决方案

深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。

深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。

深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。

深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。


时间轴

 


2021/1/15  深信服监测到JumpServer官方发布安全提示

2021/1/16  深信服千里目安全实验室发布漏洞通告,并发布解决方案


点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。

【漏洞通告】JumpServer 远程代码执行漏洞


深信服千里目安全实验室

【漏洞通告】JumpServer 远程代码执行漏洞

深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。

● 扫码关注我们



本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】JumpServer 远程代码执行漏洞

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: