Metabase 是开源的数据分析和可视化工具,支持多种数据源连接,包括数据库、云服务和API。
近期,长亭科技监测到 Metabase 官方发布新版本修复了一个远程代码执行漏洞(CVE-2023-38646)。
经过分析漏洞后,发现公网仍有较多系统未修复漏洞。应急团队根据该漏洞的原理,已经编写了 X-POC 远程检测工具和牧云本地检测工具,并已向公众开放下载使用。
未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令。
值得注意的是,修复后的版本也需要在完成安装后才可修复漏洞,否则依旧存在被攻击者利用的可能性。
X-POC远程检测工具
检测方法:
xpoc -r 403 -t http://xpoc.org
工具获取方式:
https://github.com/chaitin/xpoc
https://stack.chaitin.com/tool/detail?id=1036
牧云本地检测工具
检测方法:
在本地主机上执行以下命令即可无害化扫描:
./metabase_rce_cve_2023_38646_scanner_linux_amd64
工具获取方式:
https://stack.chaitin.com/tool/detail?id=1205
Metabase open source 0.46 < 0.46.6.1
Metabase Enterprise 1.46 < 1.46.6.1
Metabase open source 0.45 < v0.45.4.1
Metabase Enterprise 1.45 < 1.45.4.1
Metabase open source 0.44 < 0.44.7.1
Metabase Enterprise 1.44 < 1.44.7.1
Metabase open source 0.43 < 0.43.7.2
Metabase Enterprise 1.43 < 1.43.7.2
临时缓解方案
通过网络ACL策略限制访问来源,例如只允许来自特定IP地址或地址段的访问请求。
升级修复方案
官方已经推出了新的修复版本。建议所有受影响的用户尽快访问官方网站,更新至相应的安全版本[1]。
对于开源版本的用户,由于官方还未发布修复的源代码,可以直接从 release 页面下载预打包的 jar 文件进行使用[2]。
对于使用 Docker 版本的用户,只需拉取最新版本的镜像进行更新。然而在开始升级前,务必确保已经对数据进行了备份。
另外不论使用什么修复版本,都需要确保应用完成安装过程可正常登录使用才可修复漏洞。同时作为安全建议,应该及时下线一些不使用的服务。
云图:默认支持该产品的指纹识别,同时支持该漏洞的PoC原理检测。
洞鉴:以自定义POC形式支持。
雷池:已发布虚拟补丁,支持该漏洞利用行为的检测。
全悉:已发布规则升级包,支持检测该漏洞的利用行为。
牧云:使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包(EMERVULN-23.07.025)“漏洞应急”功能支持该漏洞的检测;其它管理平台版本暂不支持该漏洞检测。
7月20日 官方发布漏洞公告和修复版本[1]
7月24日 长亭应急团队收到漏洞情报
7月25日 长亭应急响应实验室漏洞分析与复现
7月26日 长亭安全应急响应中心发布通告
参考资料:
[1].https://www.metabase.com/blog/security-advisory
[2].https://github.com/metabase/metabase/releases
全力进行产品升级
及时将风险提示预案发送给客户
检测业务是否收到此次漏洞影响
请联系长亭应急团队
7*24小时,守护您的安全
第一时间找到我们:
邮箱:support@chaitin.com
应急响应热线:4000-327-707
收录于合集 #2023漏洞风险提示
17
上一篇