Spring Boot Actuator漏洞修复_springbootactuator未授权访问修复

1.漏洞描述

1.1 事件

        Spring Boot Actuator模块中间件存在未授权访问远程代码执行漏洞。

1.2 漏洞描述

        Actuator是Spring Boot提供的服务监控和管理中间件，默认配置会出现接口未授权访问，部分接口会泄露网站流量信息和内存信息等，使用Jolokia库特性甚至可以远程执行任意代码，获取服务器权限。

1.3 漏洞评级

严重

1.4 影响版本

全版本且无安全配置

2.项目漏洞

漏洞名称

敏感信息泄漏

测试定性

高危

漏洞描述

由于后台人员的疏忽或者不当的设计，导致不应该被前端用户看到的数据被轻易的访问到, 敏感数据包括但不限于：口令、密钥、证书、会话标识、License、隐私数据(如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等，在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据, 这些敏感信息往往给攻击着实施进一步的攻击提供很大的帮助,甚至“离谱”的敏感信息泄露也会直接造成严重的损失。

测试过程

可下载IP/7002/actuator/heapdump，文件，其中包含mysql和redis数据库密码。为降低测试风险不干扰业务，本处不进行权限获取

风险分析

攻击者可利用泄漏的敏感信息，获取网站服务器web路径或其他配置信息，为进一步攻击提供帮助。

修复方案

针对泄露的敏感信息进行修复。

3.解决方案

关闭对应endpoint，以health为例，threaddump同理

3.1 添加配置

management.endpoint.health.enabled=false

3.2 对应endpoint无法访问

4.扩展信息

5.参考资料

《Spring Boot Actuator未授权访问远程代码执行漏洞》：【漏洞预警】Spring Boot Actuator未授权访问远程代码执行漏洞[转]_actuator是spring boot提供的服务监控和管理中间件,默认配置会出现接口未授权访问-CSDN博客

《Spring Boot Actuator:健康检查、审计、统计和监控》：Spring Boot Actuator:健康检查、审计、统计和监控 - 简书