雷神眾測(cè)漏洞周報(bào)2021.11.15-2021.11.21-4

聲明

以下內(nèi)容，均摘自于互聯(lián)網(wǎng)，由于傳播，利用此文所提供的信息而造成的任何直接或間接的后果和損失，均由使用者本人負(fù)責(zé)，雷神眾測(cè)以及文章作者不承擔(dān)任何責(zé)任。

雷神眾測(cè)擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章，必須保證此文章的副本，包括版權(quán)聲明等全部?jī)?nèi)容。聲明雷神眾測(cè)允許，不得任意修改或增減此文章內(nèi)容，不得以任何方式將其用于商業(yè)目的。

目錄

1. Apache Druid任意文件讀取漏洞

2. Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞

3. Aruba Instant命令注入漏洞

4. Zoho ManageEngine OpManager SQL注入漏洞

漏洞詳情

1.Apache Druid任意文件讀取漏洞

漏洞介紹：

近日，安恒信息應(yīng)急響應(yīng)中心監(jiān)測(cè)到Apache Druid存在任意文件讀取漏洞（CVE-2021-36749），攻擊者可通過(guò)將文件URL傳遞給HTTP InputSource，因Apache Druid默認(rèn)情況下缺乏授權(quán)認(rèn)證，即攻擊者可構(gòu)造惡意請(qǐng)求，在未授權(quán)情況下利用該漏洞讀取任意文件，可導(dǎo)致服務(wù)器敏感信息泄漏。

漏洞危害：

根據(jù)分析，在Apache Druid中，InputSource是用于讀取來(lái)自某個(gè)數(shù)據(jù)源的數(shù)據(jù)，但因?qū)τ脩艨煽氐腍TTP InputSource限制不足，Apache Druid允許經(jīng)過(guò)身份驗(yàn)證的用戶以 Druid 服務(wù)器進(jìn)程的權(quán)限從指定數(shù)據(jù)源讀取數(shù)據(jù)，包括本地文件系統(tǒng)。又因Apache Druid 默認(rèn)情況下缺乏授權(quán)認(rèn)證，攻擊者可通過(guò)構(gòu)造惡意請(qǐng)求實(shí)現(xiàn)在未授權(quán)的情況下讀取目標(biāo)系統(tǒng)任意文件，可導(dǎo)致系統(tǒng)敏感信息泄漏。

漏洞編號(hào)：

CVE-2021-36749

影響范圍：

Apache Druid <= 0.21.1

修復(fù)方案：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來(lái)源: 安恒信息應(yīng)急響應(yīng)中心

2. Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞

漏洞介紹：

Hadoop Yarn RPC未授權(quán)訪問(wèn)漏洞存在于Hadoop Yarn中負(fù)責(zé)資源管理和任務(wù)調(diào)度的ResourceManager，成因是該組件為用戶提供的RPC服務(wù)默認(rèn)情況下無(wú)需認(rèn)證即可訪問(wèn)。

漏洞危害：

一部分用戶基于過(guò)去幾年中基于多種利用Hadoop的歷史蠕蟲(chóng)已經(jīng)意識(shí)到RESTful API的風(fēng)險(xiǎn)，通過(guò)配置開(kāi)啟了基于HTTP的認(rèn)證，或通過(guò)防火墻/安全組封禁了RESTful API對(duì)應(yīng)的8088端口，但由于他們沒(méi)有意識(shí)到Hadoop同時(shí)提供RPC服務(wù)，并且訪問(wèn)控制機(jī)制開(kāi)啟方式跟REST API不一樣，導(dǎo)致用戶Hadoop集群中RPC服務(wù)所在的8032端口仍然可以未授權(quán)訪問(wèn)。

影響范圍：

Hadoop Yarn

修復(fù)建議：

Apache Hadoop官方建議用戶開(kāi)啟Kerberos認(rèn)證

來(lái)源：阿里云應(yīng)急響應(yīng)

3. Aruba Instant命令注入漏洞

漏洞介紹：

Aruba Instant是一個(gè)無(wú)線網(wǎng)絡(luò)。提供了唯一一種易于設(shè)置的Wi-Fi解決方案。

漏洞危害：

Aruba Instant存在命令注入漏洞，該漏洞源于命令行界面中不正確的輸入驗(yàn)證。攻擊者可利用漏洞升級(jí)系統(tǒng)上的特權(quán)。?

漏洞編號(hào)：

CVE-2021-37727

影響范圍：

Aruba Networks Aruba Instant 8.7.x.x

Aruba Networks Aruba Instant 6.4.x.x

Aruba Networks Aruba Instant 6.5.x.x

Aruba Networks Aruba Instant 8.6.x.x

修復(fù)建議：

及時(shí)測(cè)試并升級(jí)到最新版本或升級(jí)版本

來(lái)源：CNVD

4. Zoho ManageEngine OpManager SQL注入漏洞

漏洞介紹：

ZOHO（卓豪）ManageEngine OpManager是一款端到端的綜合網(wǎng)絡(luò)管理軟件，可對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)設(shè)備、服務(wù)器、主機(jī)、WAN鏈路、應(yīng)用及服務(wù)等IT基礎(chǔ)設(shè)施實(shí)現(xiàn)全方位、可視化、統(tǒng)一集中監(jiān)控和管理。

漏洞危害：

Zoho ManageEngine OpManager 125455之前版本中的NetFlow Analyzer中的Attacks Module API存在SQL注入漏洞，攻擊者可利用該漏洞執(zhí)行非法SQL命令。

漏洞編號(hào)：

CVE-2021-41075

影響范圍：

ZOHO Corporation manageengine opmanager <125455

修復(fù)建議：

及時(shí)測(cè)試并升級(jí)到最新版本

來(lái)源：CNVD

專注滲透測(cè)試技術(shù)

全球最新網(wǎng)絡(luò)攻擊技術(shù)

END