漏洞名称 : Metabase 任意文件读取漏洞
组件名称 : Metabase
影响范围 :
1.0.0<= Metabase <1.40.5
Metabase <0.40.5
漏洞类型 : 文件包含
利用条件 :
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价 :
<综合评定利用难度>:容易,无需授权即可造成文件读取。
<综合评定威胁等级>:高危,能造成任意文件读取。
漏洞分析
1 组件介绍
Metabase 是基于 AGPL 协议的开源项目,其提供了多种安装方式,包括 docker 镜像、Mac、和 jar 包,安装几乎没有门槛,是一个简单而强大的分析工具,让任何人都可以从他们公司的数据中学习和做出决策。数据分析人员通过建立一个“查询”(Metabase 中定义为 Question)来提炼数据,再通过仪表盘(Dashboards)来组合展示给公司成员。
2 漏洞描述
2021年11月22日,深信服安全团队监测到一则 Metabase 组件存在任意文件读取漏洞的信息,漏洞编号:CVE-2021-41277,漏洞威胁等级:高危。
该漏洞是由于自定义 GeoJSON 地图的接口存在本地文件包含漏洞,攻击者可利用该漏洞在未授权,构造恶意数据执行文件包含攻击,最终造成服务器敏感性信息泄露。
影响范围
Metabase 可以运行在几乎所有计算机平台上,由于其跨平台和简易性被广泛使用,全球有数万 Metabase 服务,可能受漏洞影响的资产广泛分布于世界各地,国内省份中,北京、广东、浙江等省市接近 70%,今年曝出的漏洞等级高危,涉及用户量大,导致漏洞影响力很大。
目前受影响的 Metabase 版本:
1.0.0<= Metabase <1.40.5
Metabase <0.40.5
解决方案
1 如何检测组件系统版本
访问 Metabase 主页,在右上角设置->关于 Metabase 中可以看到当前版本信息:
2 官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://github.com/metabase/metabase
3 深信服解决方案
【深信服下一代防火墙AF】预计2021年11月26日,可防御此漏洞, 建议用户将深信服下一代防火墙开启 IPS/WAF防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。
【深信服安全感知管理平台SIP】预计2021年11月26日,结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙AF】等产品实现对攻击者IP的封堵。
【深信服安全云眼CloudEye】预计2021年11月25日,完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。
注册地址:http://saas.sangfor.com.cn
【深信服云镜JY】预计2021年11月25日,完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。
参考链接
-
https://nvd.nist.gov/vuln/detail/CVE-2021-41277
时间轴
2021/11/22 深信服监测到 Metabase 文件读取漏洞攻击信息。
2021/11/24 深信服千里目安全实验室发布漏洞通告、发布解决方案。
点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。
深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。
● 扫码关注我们
原文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Metabase 任意文件读取漏洞CVE-2021-41277
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论