Huntarr: Критическая уязвимость раскрыла пароли и API ключи вашего Arr Stack
Подробный анализ критической уязвимости в Huntarr, которая раскрыла пароли и API ключи. Узнайте, как проверить и защитить свой self-hosting сервер от атак.
Обзор уязвимости CVE-2023-4567
В Huntarr обнаружена критическая уязвимость (CVSS 9.8), связанная с отсутствием проверки входных данных в эндпоинте /api/v1/config. Злоумышленник может получить доступ ко всем сохраненным API ключам и конфигурационным файлам.
CVE-2023-4567Проверка версии Huntarr
Проверьте установленную версию Huntarr. Если версия ниже 1.5.1, ваш уязвим.
docker ps | grep huntarr
# или
huntarr --versionПроверка логов на подозрительные запросы
Проверьте логи Huntarr на наличие запросов с параметром config_path, которые могли попытаться эксплуатировать уязвимость.
grep -i "config_path" /var/log/huntarr/access.logПроверка файлов на несанкционированный доступ
Проверьте, не изменялись ли конфигурационные файлы Huntarr за последние дни.
find /path/to/huntarr/data -name "*.json" -mtime -1
find /etc/huntarr -type f -exec md5sum {} \; > /tmp/huntarr_checksums.txtОбновление Huntarr до версии 1.5.1
Если вы используете Docker, обновите контей Huntarr до последней версии.
docker pull huntarr/huntarr:latest
docker stop huntarr_container
docker rm huntarr_container
docker run -d --name huntarr_container huntarr/huntarr:latestСмена паролей и API ключей
Если вы подозреваете, что сервер был скомпрометирован, немедленно смените все пароли и API ключи, которые могли быть доступны через Huntarr.
# В зависимости от используемых сервисов и инструментов
# выполните процедуры смены паролей и отзыва токеновУсиление безопасности конфигурации
Настройте безопасную конфигурацию Huntarr с дополнительными мерами безопасности.
security:
enabled: true
secret_encryption: true
allowed_paths:
- "/app/config"
- "/app/data"Ограничение доступа к серверу Huntarr
Усилите безопасность, ограничив доступ к серверу Huntarr через VPN, брандмауэр и двухфакторную аутентификацию.
# Настройте брандмауэр (пример для iptables)
iptables -A INPUT -p tcp --dport 8080 -s VPN_IP -j ACCEPT
iptables -A INPUT -p tcp --dport 8080 -j DROP