风险提示｜Metabase远程命令执行漏洞（CVE-2023-38646）

Metabase 是开源的数据分析和可视化工具，支持多种数据源连接，包括数据库、云服务和API。
近期，长亭科技监测到 Metabase 官方发布新版本修复了一个远程代码执行漏洞（CVE-2023-38646）。
经过分析漏洞后，发现公网仍有较多系统未修复漏洞。应急团队根据该漏洞的原理，已经编写了 X-POC 远程检测工具和牧云本地检测工具，并已向公众开放下载使用。

漏洞描述

未经身份认证的远程攻击者利用该漏洞可以在服务器上以运行 Metabase 服务器的权限执行任意命令。
值得注意的是，修复后的版本也需要在完成安装后才可修复漏洞，否则依旧存在被攻击者利用的可能性。

检测工具

X-POC远程检测工具

检测方法

xpoc -r 403 -t http://xpoc.org

工具获取方式：

• https://github.com/chaitin/xpoc
• https://stack.chaitin.com/tool/detail?id=1036

牧云本地检测工具

检测方法

在本地主机上执行以下命令即可扫描：

./metabase_rce_cve_2023_38646_scanner_linux_amd64

工具获取方式

https://stack.chaitin.com/tool/detail?id=1205

影响范围

• Metabase open source 0.46 < 0.46.6.1
• Metabase Enterprise 1.46 < 1.46.6.1
• Metabase open source 0.45 < v0.45.4.1
• Metabase Enterprise 1.45 < 1.45.4.1
• Metabase open source 0.44 < 0.44.7.1
• Metabase Enterprise 1.44 < 1.44.7.1
• Metabase open source 0.43 < 0.43.7.2
• Metabase Enterprise 1.43 < 1.43.7.2

解决方案

临时缓解方案

通过网络ACL策略限制访问来源，例如只允许来自特定IP地址或地址段的访问请求。

升级修复方案

官方已经推出了新的修复版本。建议所有受影响的用户尽快访问官方网站，更新至相应的安全版本[1]。
对于开源版本的用户，由于官方还未发布修复的源代码，可以直接从 release 页面下载预打包的 jar 文件进行使用[2]。
对于使用 Docker 版本的用户，只需拉取最新版本的镜像进行更新。然而在开始升级前，务必确保已经对数据进行了备份。
无论使用什么版本，都需要确保应用完成安装过程可正常登录使用才可修复漏洞。另外作为安全建议，应该及时下线一些不使用的服务。

产品支持

• 云图：默认支持该产品的指纹识别，同时支持该漏洞的PoC原理检测。
• 洞鉴：以自定义POC形式支持。
• 雷池：已发布虚拟补丁，支持该漏洞利用行为的检测。
• 全悉：已发布规则升级包，支持检测该漏洞的利用行为。
• 牧云：使用管理平台 23.05.001 及以上版本的用户可通过升级平台下载应急漏洞情报库升级包（EMERVULN-23.07.025）“漏洞应急”功能支持该漏洞的检测；其它管理平台版本暂不支持该漏洞检测。

时间线

• 7月20日 官方发布漏洞公告和修复版本[1]
• 7月24日 长亭应急团队收到漏洞情报
• 7月25日 长亭应急响应实验室漏洞分析与复现
• 7月25日 长亭安全应急响应中心发布通告

参考资料

1. https://www.metabase.com/blog/security-advisory
2. https://github.com/metabase/metabase/releases