探索网络安全新技术
攀登黑客技术最高峰

Apache Druid RCE 远程代码执行漏洞利用

Apache Druid RCE 远程代码执行漏洞利用-威武网安

漏洞背景

Apache Druid是一个高性能的实时大数据分析引擎,具有高度可扩展、低延迟和高吞吐量的特点。它支持快速数据摄取、实时查询和数据可视化,并且主要用于OLAP(在线分析处理)场景,能够处理PB级别的数据。Apache Druid广泛应用于实时监控、事件驱动分析、用户行为分析、网络安全等领域。通过使用Druid,企业和开发者可以快速获得实时分析结果,从而提升业务决策效率。

除了Apache Druid,还有其他一些类似的实时大数据分析引擎,比如Apache Kafka。近期,Apache Kafka官方发布了关于Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)的通告。这个漏洞需要低版本的JDK或者目标Kafka Connect系统中存在利用链,但由于该漏洞触发条件非常苛刻,几乎找不到可以利用的触发点。虽然这个漏洞不太容易被攻击者利用,但仍然建议用户更新到最新版本的Kafka Connect来避免潜在的安全风险。

漏洞描述

Apache Druid 支持从 Kafka 加载数据,恶意的攻击者可通过修改 Kafka 连接配置属性,从而进一步触发 JNDI 注入攻击,最终攻击者可在服务端执行任意恶意代码,获取系统服务权限。对攻击者来说,此漏洞的利用无需认证和鉴权,且默认配置下的 Apache Druid 即会受到此漏洞的影响。

影响范围

Apache Druid 全版本通杀

资产搜索

title_string = "Apache Druid"

body_string = "Apache Druid console"

根据指纹特征筛选出相关系统,尝试访问该系统,若无身份认证机制,漏洞即存在。

漏洞利用

Xray下载

https://github.com/chaitin/xray

漏洞检测

执行Xray即可扫描。注意,检测该漏洞需要配置反连平台。

./xray ws --poc poc-yaml-apache-druid-kafka-rce --url https://www.wevul.com

解决方案

为Apache Druid 开启认证配置:

https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html
赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Apache Druid RCE 远程代码执行漏洞利用》
文章链接:https://www.wevul.com/567.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册