天翼云 Web 应用防火墙（边缘云版）支持检测和拦截 Apache Spark shell 命令注入漏洞

尊敬的天翼云用户您好：

近日，Apache Spark 出现 shell 命令注入漏洞，该漏洞危害较大且 POC 已公开。截至发文当前，天翼云 Web 应用防火墙（边缘云版）已监测并拦截到大量相关攻击，请相关用户尽快采取措施进行排查与防护。

漏洞描述

Apache Spark 是美国阿帕奇（Apache）软件基金会的一款支持非循环数据流和内存计算的大规模数据处理引擎, 如果 Apache Spark UI 启用了 ACL，则 HttpSecurityFilter 中的代码路径允许通过提供任意用户名来模拟执行。恶意用户可能能够访问权限检查功能，该功能最终将根据他们的输入构建一个 Unix shell 命令并执行它。这将导致任意 shell 命令执行。

漏洞详情

漏洞名称：Apache Spark shell 命令注入漏洞

漏洞编号：CVE-2022-33891

漏洞类型：命令注入

组件名称：Apache Spark

影响版本：Spark Core – Apache<=3.0.3>=3.1.1&&<=3.1.2>=3.2.0&&<=3.2.1

漏洞等级：高危

自检建议获取 spark 版本，判断其版本是否在 (∞, 3.0.3]、[3.1.1, 3.1.2]、[3.2.0, 3.2.2)范围中。

漏洞修复或缓解建议厂商已发布补丁修复漏洞，用户请尽快更新至安全版本：Apache Spark 3.1.3、 3.2.2 或 3.3.0 或更高版本。

天翼云 Web 应用防火墙（边缘云版）已支持检测拦截该漏洞

天翼云安全研究团队在 2022 年 7 月 18 日即开启对该漏洞的关注与研究工作，提前对该漏洞进行预警防御，已于 2022 年 7 月 18 日支持该漏洞防护，并于 2022 年 7 月 20 日捕获该 Apache Spark shell 命令注入漏洞的攻击行为，在攻击行为大规模爆发之前就帮助用户提前进行检测与防御。已购买天翼云 Web 应用防火墙（边缘云版）的用户无需任何操作即可受保护不被此漏洞利用，如需咨询请拨打电话 400-810-9889 转 1。

Web 应用防火墙（边缘云版）

1.订购 Web 应用防火墙（边缘云版）后，在自助客户控制台接入防护域名，接入防护域名默认支持防护，不需要手动更新规则库和配置。

2.订购 Web 应用防火墙（边缘云版）服务。

第一步，打开天翼云官网http://www.ctyun.cn，注册并登录；

第二步，未实名认证的用户需按提示完成实名认证才能开通 Web 应用防火墙（边缘云版）服务；

第三步，BCP 门户已经支持订购，订购后自助开通功能；点击业务受理单-创建受理单（试用/商用）-添加资源-安全产品-Web 应用防火墙（边缘云版）-提交资源。

3、开通成功后，登录客户控制台：https://cdn.ctyun.cn/h5/ctwaf，接入防护域名，防护开关确认为开启。第一步，进入 Web 应用防火墙（边缘云版）客户控制台，选择【域名管理】，点击【添加域名】；第二步，填写域名接入信息，根据页面的引导填写域名的源站信息、请求协议、服务端口、回源协议和回源端口等信息；

添加域名配置页

第三步，根据您的需求，填写完域名的源站信息、请求协议、服务端口、回源协议和回源端口等信息，点击【下一步】填写域名安全配置页面；

域名安全配置信息页

第四步，选择域名的防护模式和防护模版后，点击【提交】；提交成功后，可以点击【返回域名列表】页面；

第五步，完成新增域名操作，配置完成后，域名管理页面提供 cname 地址；

第六步，要启用 Web 应用防火墙服务，需要您将防护域名的 DNS 解析指向我们提供的 CNAME，这样访问防护域名的请求才能转发到安全节点上，达到防护效果。