近日，騰訊藍軍（force.tencent.com）發現並向Apache SkyWalking官方團隊提交SQL隱碼攻擊漏洞（漏洞編號：CVE-2020-13921），目前官方已釋出新版本修復該漏洞。

為避免您的業務受影響，騰訊雲安全建議您及時開展安全自查，如在受影響範圍，請您及時進行更新修復，避免被外部攻擊者入侵。

漏洞詳情

Apache SkyWalking 是一款應用效能監控（APM）工具，對微服務、雲原生和容器化應用提供自動化、高效能的監控方案。其官方網站顯示，大量的國內網際網路、銀行、民航等領域的公司在使用此工具。

在SkyWalking多個版本中，預設開放的未授權GraphQL介面，透過該介面，攻擊者可以構造惡意的請求包進行SQL隱碼攻擊，從而導致使用者資料庫敏感資訊洩露。鑑於該漏洞影響較大，建議企業儘快修復。

風險等級

高風險

漏洞風險

透過SQL隱碼攻擊，攻擊者可以在伺服器上竊取敏感資訊

影響版本

Apache SkyWalking 6.0.0~6.6.0

Apache SkyWalking 7.0.0

Apache SkyWalking 8.0.0~8.0.1

修復版本

Apache SkyWalking 8.1.0

修復建議

官方已釋出新版本修復該漏洞，騰訊雲安全建議您：

1. 推薦方案：升級到Apache SkyWalking 8.1.0或更新版本。

2. 如暫時無法升級，作為緩解措施，建議不要將Apache SkyWalking的GraphQL介面暴露在外網，或在GraphQL介面之上增加一層認證。

3. 推薦企業使用者採取騰訊安全產品檢測並攔截Apache SkyWalking SQL隱碼攻擊漏洞的攻擊。

騰訊安全解決方案

騰訊雲T-Sec Web應用防火牆已支援攔截防禦SkyWalking SQL隱碼攻擊漏洞攻擊。

官方更新通告和升級連結：https://github.com/apache/skywalking/releases/tag/v8.1.0