风险提示｜Metabase远程代码执行漏洞（CVE-2023-38646）

长亭安全应急响应 黑伞安全 2023-07-27 17:16

Metabase 是开源的数据分析和可视化工具，支持多种数据源连接，包括数据库、云服务和API。近期，长亭科技监测到 Metabase 官方发布新版本修复了一个远程代码执行漏洞（CVE-2023-38646）。经过分析漏洞后，发现公网仍有较多系统未修复漏洞。应急团队根据该漏洞的原理，已经编写了 X-POC 远程检测工具和牧云本地检测工具，并已向公众开放下载使用。
漏洞描述

Description 

01

未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令。值得注意的是，修复后的版本也需要在完成安装后才可修复漏洞，否则依旧存在被攻击者利用的可能性。
检测工具

Detection 

02

X-POC远程检测工具

检测方法：xpoc -r 403 -t http://xpoc.org
工具获取方式：
https://github.com/chaitin/xpochttps://stack.chaitin.com/tool/detail?id=1036

牧云本地检测工具

检测方法：在本地主机上执行以下命令即可无害化扫描：./metabase_rce_cve_2023_38646_scanner_linux_amd64
工具获取方式：
https://stack.chaitin.com/tool/detail?id=1205

影响范围

Affects

03

解决方案

Solution 

04
临时缓解方案通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。升级修复方案官方已经推出了新的修复版本。建议所有受影响的用户尽快访问官方网站，更新至相应的安全版本[1]。对于开源版本的用户，由于官方还未发布修复的源代码，可以直接从 release 页面下载预打包的 jar 文件进行使用[2]。对于使用 Docker 版本的用户，只需拉取最新版本的镜像进行更新。然而在开始升级前，务必确保已经对数据进行了备份。另外不论使用什么修复版本，都需要确保应用完成安装过程可正常登录使用才可修复漏洞。同时作为安全建议，应该及时下线一些不使用的服务。
产品支持

Support 

05
云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测。洞鉴：以自定义POC形式支持。雷池：已发布虚拟补丁，支持该漏洞利用行为的检测。全悉：已发布规则升级包，支持检测该漏洞的利用行为。牧云：使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包（EMERVULN-23.07.025）“漏洞应急”功能支持该漏洞的检测；其它管理平台版本暂不支持该漏洞检测。

时间线

Timeline 

06
7月20日 官方发布漏洞公告和修复版本[1]7月24日 长亭应急团队收到漏洞情报7月25日 长亭应急响应实验室漏洞分析与复现7月26日 长亭安全应急响应中心发布通告
参考资料：

[1].https://www.metabase.com/blog/security-advisory[2].https://github.com/metabase/metabase/releases

长亭应急响应服务

全力进行产品升级

及时将风险提示预案发送给客户

检测业务是否收到此次漏洞影响

请联系长亭应急团队

7*24小时，守护您的安全

第一时间找到我们：

邮箱：[email protected]

应急响应热线：4000-327-707

收录于合集 

2023漏洞风险提示

17
个

上一篇
风险提示｜泛微OA e-cology XXE 漏洞