[安全风险通告] XXL-JOB 未授权远程命令执行漏洞安全风险通告

XXL-JOB是一个轻量级分布式任务调度平台，默认情况下XXL-JOB的API接口没有开启认证，未经授权的攻击者可以构造一个恶意请求，实现远程命令执行。鉴于漏洞危害较大，建议客户尽快采用处置建议或使用奇安信产品解决方案。

漏洞描述

XXL-JOB是一个轻量级分布式任务调度平台。默认情况下XXL-JOB的API接口没有开启相关认证，未授权的攻击者可构造恶意请求，造成远程执行命令，直接控制服务器。漏洞利用无需登录，实际风险极高，奇安信CERT建议XXL-JOB 用户尽快采取相关措施缓解漏洞攻击。

奇安信CERT已成功复现该漏洞：

风险等级

奇安信 CERT风险评级为：高危

风险等级：蓝色（一般事件）

影响范围

XXL-JOB <= 2.2.0

处置建议

增加授权验证，配置xxl.job.accessToken缓解此漏洞。

产品线解决方案

奇安信网神统一服务器安全管理平台更新防御规则库

奇安信网神虚拟化安全轻代理版本可通过更新入侵防御规则库2020.10.30版本，支持对XXL-JOB未授权远程命令执行漏洞的防护，当前规则正在测试中，将于10月30日发布，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台可通过更新入侵防御规则库10304版本，支持对XXL-JOB未授权远程命令执行漏洞的防护，当前规则正在测试中，将于10月30日发布，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神天堤产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2010271700” 及以上版本并启用规则ID:1227701进行检测防御。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对XXL-JOB未授权远程命令执行漏洞的防护。

奇安信网神云锁产品解决方案

奇安信网神云锁产品（私有云版/公有云版）可通过更新网站漏洞防御规则实现XXL-JOB未授权远程命令执行漏洞检测，请用户联系技术支持人员获取防护规则。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1027.12465及以上版本。规则名称：XXL-JOB未授权远程命令执行漏洞，规则ID：0x10020B55。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信开源卫士已更新

奇安信开源卫士通过更新到20201027. 467版本，支持对XXL-JOB未授权远程命令执行漏洞的检测。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS3000/5000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：5948，建议用户尽快升级检测规则库至2010271750以后版本并启用该检测规则。

参考资料

[1] github.com/xuxueli/xxl-job

原创：奇安信 CERT
原文链接：https://mp.weixin.qq.com/s/UuCjx1ibVp-nFzj...