奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

近日，奇安信CERT监测到YApi接口管理平台远程代码执行0day漏洞，攻击者可通过平台注册用户添加接口，设置mock脚本从而执行任意代码。鉴于该漏洞目前处于0day漏洞利用状态，强烈建议客户尽快采取缓解措施以避免受此漏洞影响。

攻击者可通过平台注册用户（无需验证邮箱）添加接口，设置mock脚本，访问该接口即可执行攻击者配置的恶意代码。

奇安信CERT第一时间复现此漏洞，复现截图如下：

YApi全版本

1、关闭YApi用户注册功能；

在"config.json"添加"closeRegister:true"配置项：

{

  "port": "*****",

  "closeRegister":true

}

修改完成后，重启YApi服务。

2、暂时关闭mock功能（需要修改YApi代码）；

在"config.json"中添加 "mock: false" ；

在"exts/yapi-plugin-andvanced-mock/server.js"中找到`if (caseData && caseData.case_enable) {...}`，在其上方添加`if(!yapi.WEBCONFIG.mock) {return false;}`。

3、白名单限制；

安全组配置白名单访问，或者使用NGINX进行代理，限制白名单IP访问；

4、检查用户列表，删除恶意不明用户；并删除恶意不明用户创建的接口及mock脚本。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全面支持对YApi 接口管理平台远程代码执行漏洞的防护。

奇安信网神统一服务器安全管理平台更新入侵防御规则库

奇安信网神虚拟化安全轻代理版本将于7月9日发布入侵防御规则库2021.07.09版本，支持对YApi 接口管理平台远程代码执行漏洞的防护，届时请用户联系技术支持人员获取规则升级包对轻代理版本进行升级。

奇安信网神统一服务器安全管理平台将于7月9发布入侵防御规则库10389版本，支持对YApi 接口管理平台远程代码执行漏洞的防护，届时请用户联系技术支持人员获取规则升级包对融合版本进行升级。

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：6788，建议用户尽快升级检测规则库至2107081730以后版本并启用该检测规则。

奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.0708.12928上版本。规则名称：YAPI接口管理平台远程代码执行漏洞，规则ID：0x10020DA2。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网神智慧防火墙产品防护方案

奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至” 2107081800” 及以上版本并启用规则ID: 1249401进行检测。

2021年7月8日，奇安信 CERT发布安全风险通告

点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓