開源資料處理框架Apache Flink在3年前公布的弱點，美國CISA證實被用於攻擊行動

5月23日美國網路安全暨基礎設施安全局（CISA）將開源資料處理框架Apache Flink漏洞CVE-2020-17519，列入已被利用的漏洞名單（KEV），並要求聯邦機構於6月13日前完成修補。

這項漏洞源自於1.11.0版Flink導入的變更，攻擊者可藉由JobManager處理程序的REST介面，在本機的檔案系統讀取任意檔案，CVSS風險評為7.5分，IT人員應升級1.11.3或1.12.0以上的版本來緩解漏洞。

雖然CISA並未透露有關漏洞被利用的相關細節，無從得知攻擊者的身分及目的，但值得留意的是，Apache基金會於2021年1月公告、修補這項漏洞，相關資訊已被公布超過3年，也有研究人員公布概念性驗證的攻擊程式碼，這代表攻擊者相關利用漏洞不需自行從頭研究，後續可能有更多攻擊者加入嘗試利用漏洞的行列。