奇安信CERT
致力于第一时间为企业级用户提供安全风险通告和有效解决方案。
风险通告
近日,奇安信CERT监测到YApi接口管理平台远程代码执行漏洞。攻击者可通过平台注册用户添加接口,设置mock脚本,访问该接口即可执行攻击者配置的恶意代码。鉴于该漏洞危害较大,强烈建议客户尽快采取缓解措施以避免受此漏洞影响。
本次更新内容:
更新漏洞细节公开状态
修正漏洞影响范围
更新处理建议
当前漏洞状态
细节是否公开 | PoC状态 | EXP状态 | 在野利用 |
是 | 已公开 | 已公开 | 已发现 |
漏洞描述
攻击者可通过平台注册用户(无需验证邮箱)添加接口,设置mock脚本,访问该接口即可执行攻击者配置的恶意代码。
奇安信CERT第一时间复现此漏洞,复现截图如下:
风险等级
奇安信 CERT风险评级为:高危
影响范围
YApi官方发布的所有正式版本
处置建议
目前官方git仓库发布的1.9.2版本(目前官方正式发布的最新版本)并未修复该漏洞。而经测试,Github仓库中的master分支已修复该漏洞:
拉取Github官方master分支代码命令:
git clone https://github.com/YMFE/yapi.git
2.缓解措施
若用户升级困难,可采取如下临时解决方案以避免受漏洞所导致风险影响:
1、关闭YApi用户注册功能;
在"config.json"添加"closeRegister:true"配置项:
{
"port": "*****",
"closeRegister":true
}
修改完成后,重启YApi服务。
2、暂时关闭mock功能(需要修改YApi代码);
在"config.json"中添加 "mock: false" ;
在"exts/yapi-plugin-andvanced-mock/server.js"中找到`if (caseData && caseData.case_enable) {…}`,在其上方添加`if(!yapi.WEBCONFIG.mock) {return false;}`。
3、白名单限制;
安全组配置白名单访问,或者使用NGINX进行代理,限制白名单IP访问;
4、检查用户列表,删除恶意不明用户;并删除恶意不明用户创建的接口及mock脚本。
产品解决方案
奇安信网站应用安全云防护系统已更新防护特征库
奇安信网神网站应用安全云防护系统已全面支持对YApi 接口管理平台远程代码执行漏洞的防护。
奇安信网神统一服务器安全管理平台更新入侵防御规则库
奇安信网神虚拟化安全轻代理版本将于7月9日发布入侵防御规则库2021.07.09版本,支持对YApi 接口管理平台远程代码执行漏洞的防护,届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。
奇安信网神统一服务器安全管理平台将于7月9发布入侵防御规则库10389版本,支持对YApi 接口管理平台远程代码执行漏洞的防护,届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。
奇安信网神网络数据传感器系统产品检测方案
奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:6788,建议用户尽快升级检测规则库至2107081730以后版本并启用该检测规则。
奇安信天眼产品解决方案
奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到3.0.0708.12928上版本。规则名称:YAPI接口管理平台远程代码执行漏洞,规则ID:0x10020DA2。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。
奇安信网神智慧防火墙产品防护方案
奇安信新一代智慧防火墙(NSG3000/5000/7000/9000系列)和下一代极速防火墙(NSG3500/5500/7500/9500系列)产品系列,已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2107081800” 及以上版本并启用规则ID: 1249401进行检测。
参考资料
时间线
2021年7月8日,奇安信 CERT发布安全风险通告
2021年7月9日,奇安信 CERT发布安全风险通告第二次更新
到奇安信NOX-安全监测平台查询更多漏洞详情
奇安信CERT长期招募安全研究员
↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...