天翼雲Web應用防火牆（邊緣雲版）支援檢測和攔截Apache Spark shell命令注入漏洞

尊敬的天翼雲使用者您好：
近日， Apache Spark出現shell命令注入漏洞，該漏洞危害較大且 POC 已公開。截至發文當前，天翼雲Web應用防火牆（邊緣雲版）已監測並攔截到大量相關攻擊，請相關使用者儘快採取措施進行排查與防護。

漏洞描述

Apache Spark是美國阿帕奇（Apache）軟體基金會的一款支援非迴圈資料流和記憶體計算的大規模資料處理引擎, 如果Apache Spark UI啟用了 ACL，則HttpSecurityFilter 中的程式碼路徑允許透過提供任意使用者名稱來模擬執行。惡意使用者可能能夠訪問許可權檢查功能，該功能最終將根據他們的輸入構建一個 Unix shell 命令並執行它。這將導致任意 shell 命令執行。

 

漏洞詳情
漏洞名稱 ： Apache Spark shell命令注入漏洞

漏洞編號 ： CVE-2022-33891

漏洞型別 ： 命令注入

元件名稱 ： Apache Spark

影響版本 ： Spark Core – Apache<=3.0.3>=3.1.1&&<=3.1.2>=3.2.0&&<=3.2.1

漏洞等級 ： 高危

自檢建議
獲取 spark 版本，判斷其版本是否在 (∞, 3.0.3]、[3.1.1, 3.1.2]、[3.2.0, 3.2.2)範圍中。

漏洞修復或緩解建議
廠商已釋出補丁修復漏洞，使用者請儘快更新至安全版本： Apache Spark 3.1.3、 3.2.2或3.3.0或更高版本。

天翼雲 Web應用防火牆（邊緣雲版）已支援檢測攔截該漏洞

 

天翼雲安全研究團隊在 2022年7月18日即開啟對該漏洞的關注與研究工作，提前對該漏洞進行預警防禦，已於2022年7月18日支援該漏洞防護，並於2022年7月20日捕獲該Apache Spark shell命令注入漏洞的攻擊行為，在攻擊行為大規模爆發之前就幫助使用者提前進行檢測與防禦。
已購買天翼雲 Web應用防火牆（邊緣雲版）的使用者無需任何操作即可受保護不被此漏洞利用，如需諮詢請撥打電話400-810-9889轉1。
Web應用防火牆（邊緣雲版）

 

1、 訂購 Web應用防火牆（邊緣雲版）後，在自助客戶控制檯接入防護域名，接入防護域名預設支援防護，不需要手動更新規則庫和配置。
2、訂購Web應用防火牆（邊緣雲版）服務。
第一步，開啟天翼雲官網    註冊並登入；

第二步，未實名認證的使用者需按提示完成實名認證才能開通Web應用防火牆（邊緣雲版）服務；

第三步，BCP門戶已經支援訂購，訂購後自助開通功能；點選業務受理單-建立受理單（試用/商用）-新增資源-安全產品-Web應用防火牆（邊緣雲版）-提交資源。

3、開通成功後，登入客戶控制檯：，接入防護域名，防護開關確認為開啟。
第一步，進入 Web應用防火牆（邊緣雲版）客戶控制檯，選擇【域名管理】，點選【新增域名】；

第二步，填寫域名接入資訊，根據頁面的引導填寫域名的源站資訊、請求協議、服務埠、回源協議和回源埠等資訊；

新增域名配置頁

第三步，根據您的需求，填寫完域名的源站資訊、請求協議、服務埠、回源協議和回源埠等資訊，點選【下一步】填寫域名安全配置頁面；

域名安全配置資訊頁
第四步，選擇域名的防護模式和防護模版後，點選【提交】；提交成功後，可以點選【返回域名列表】頁面；

第五步，完成新增域名操作，配置完成後，域名管理頁面提供 cname地址；

第六步，要啟用 Web應用防火牆服務，需要您將防護域名的DNS解析指向我們提供的CNAME，這樣訪問防護域名的請求才能轉發到安全節點上，達到防護效果。