XXL-JOB 远程命令执行漏洞

深信服千里目安全实验室 · 公众号 · · 2020-10-29 11:32

正文

近日，深信服安全团队发现XXL-JOB调用未授权API接口导致远程命令执行漏洞攻击。 XXL-JOB默认不开启API接口认证，攻击者可以通过调用未经授权的API接口，直接发送恶意请求，执行任意系统命令，达到控制服务器的效果，危害性较大。

漏洞名称 : XXL-JOB 远程命令执行漏洞

威胁等级 : 高危

影响范围 : XXL-JOB <= 2.2.0

漏洞类型 : 远程命令执行漏洞

利用难度 : 简单

漏洞分析

1 XXL-JOB组件介绍

XXL-JOB是一个分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。

2 漏洞分析

默认情况下，在XXL-JOB组件2.2.0及以下版本，XXL-JOB API接口未开启身份认证，攻击者可以直接发送精心构造的恶意请求，执行任意系统命令，从而达到控制服务器的效果。

3 漏洞复现

搭建XXL-JOB 2.2.0版本环境，发送精心构造的恶意请求，可以执行任意系统命令，效果如下。

影响范围

受影响版本：

XXL-JOB <= 2.2.0

解决方案

1 修复建议

截止目前，官方尚未发布新版本修复该漏洞，请受影响用户时刻关注官网最新动态。

下载链接：https://github.com/xuxueli/xxl-job/

2 临时解决方案

1.用户可以自定义增加授权验证，配置xxl.job.accessToken来缓解此漏洞。在这种情况下，配置执行器（xxl-job-executor-samples）中用户使用框架的application.properties配置文件中的xxl.job.accessToken字段，修改调度中心（xxl-job-admin）的配置文件（application.properties）中的xxl.job.accessToken字段，使调度中心的配置文件中的xxl.job.accessToken字段值与执行器中的配置文件的xxl.job.accessToken字段值相同且不为空。

配置成功后重启，发送恶意攻击流量，效果如下：

2.将执行器配置到内网环境中。直接在前端执行器管理界面新增执行器，并配置存在的内网地址。

客户需要根据实际业务场景决定是否使用临时解决方案。

3 深信服解决方案

【 深信服下一代防火墙 】预计2020年10月30日，可轻松防御此漏洞，建议部署深信服下一代防火墙的用户更新至最新的安全防护规则，可轻松抵御此高危风险。
【深信服云盾】 预计2020年10月30日，从云端自动更新防护规则，云盾用户无需操作，即可轻松、快速防御此高危风险。
【深信服安全感知平台】 预计2020年10月30日，可检测利用该漏洞的攻击，实时告警，并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。
【深信服安全运营服务】 深信服云端安全专家提供7*24小时持续的安全运营服务。预计2020年10月30日，对存在漏洞的用户，检查并更新了客户防护设备的策略，确保客户防护设备可以防御此漏洞风险