YAPI遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

2021-07-08

一、概要

近日，華為云安全運(yùn)營中心監(jiān)測到多起外部攻擊者利用YAPI遠(yuǎn)程代碼執(zhí)行漏洞進(jìn)行攻擊入侵的事件，并且有上升趨勢。漏洞由于YAPI使用的mock腳本自定義服務(wù)未對JS腳本進(jìn)行過濾，導(dǎo)致攻擊者可以在腳本中注入惡意命令，實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。目前業(yè)界已存在在野攻擊利用，風(fēng)險(xiǎn)較高。

YAPI 是高效、易用、功能強(qiáng)大的api 管理平臺。華為云提醒使用YAPI的用戶盡快安排自檢并做好安全加固以降低安全風(fēng)險(xiǎn)。

參考鏈接：https://github.com/YMFE/yapi/issues/2233

二、威脅級別

威脅級別：【嚴(yán)重】

（說明：威脅級別共四級：一般、重要、嚴(yán)重、緊急）

三、漏洞影響范圍

影響版本：

YAPI所有版本

四、安全建議

目前官方暫未發(fā)布補(bǔ)丁修改該漏洞，受影響的用戶可參考以下措施進(jìn)行緩解：

1.華為云WAF可以防御該漏洞攻擊。華為云WAF用戶將“Web基礎(chǔ)防護(hù)”狀態(tài)設(shè)置為“攔截”模式，具體方法請參見配置Web基礎(chǔ)防護(hù)規(guī)則。

2.關(guān)閉 YAPI 用戶注冊功能，參考：如何禁止注冊；

3.檢查、刪除已注冊的惡意用戶；

4.檢查、刪除惡意mock腳本；

5.服務(wù)器回滾快照；

6.如無必要，禁止將 YAPI服務(wù)器對外網(wǎng)開放訪問或僅對可信IP開放；

7.更改yapi管理員用戶的口令，不要使用默認(rèn)口令。

注：修復(fù)漏洞前請將資料備份，并進(jìn)行充分測試。