【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)

已于 2024-01-19 11:20:39 修改
阅读量431 收藏
点赞数
文章标签: apache kafka 分布式
于 2023-07-22 10:41:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Innocence_0/article/details/131864887
版权

漏洞简介

Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。Kafka
Connect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL
协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。

影响版本

2.4.0<=Apache kafka<=3.3.2

修复方案

更新Apache Kafka至官方最新版本

环境搭建

通过https://github.com/vulhub/vulhub搭建

漏洞复现

exp可参考:

<https://github.com/projectdiscovery/nuclei-
templates/blob/5d90e8275084b0ae9166ec38cacd22e5a5a94fb8/http/vulnerabilities/apache/apache-
druid-kafka-connect-rce.yaml>

发起攻击请求:

构造payload ,执行新建/tmp/test.txt文件

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-S11NzR0O-1689993671085)(https://image.3001.net/images/20230609/1686306058_6482fd0aa605aa2ede112.png!small)]

验证漏洞存在,文件新建成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-aCkaFfLQ-1689993671088)(https://image.3001.net/images/20230609/1686306072_6482fd1891d327fad8206.png!small)]

开启RASP后发起攻击:

在业务优先模式下,RASP会出现JNDI注入的告警,拦截最终的命令执行

1686306081_6482fd2108f0a55a56c48.png!small

堆栈信息为

1686306089_6482fd292f080e0af0f3d.png!small

在防护模式下将直接在JNDI注入处被拦截
1686306099_6482fd33a9ec8095f7fc5.png!small

堆栈信息为
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-uN7rNqSk-1689993671096)(https://image.3001.net/images/20230609/1686306106_6482fd3aec6fdc7d9d31f.png!small)]

漏洞分析

开始

org.apache.kafka.clients.producer.KafkaProducer#KafkaProducer(java.util.Properties)

1686306115_6482fd43626d65414f2ed.png!small

跟进到

org.apache.kafka.clients.producer.KafkaProducer#KafkaProducer(java.util.Properties

1686306122_6482fd4aaa246b6b70e70.png!small

调用

org.apache.kafka.common.utils.Utils#propsToMap
对传入对象进行处理
1686306129_6482fd51dcce6562e1e27.png!small

将map型的对象传入

org.apache.kafka.clients.producer.KafkaProducer#KafkaProducer(java.util.Map

1686306136_6482fd58e2473bab27530.png!small

之后调用

org.apache.kafka.clients.producer.ProducerConfig#appendSerializerToConfig

1686306144_6482fd6080b7ca40d1859.png!small

将返回的newConfigs传入

org.apache.kafka.clients.producer.ProducerConfig#ProducerConfig(java.util.Map)

1686306151_6482fd679bd86c46b4eeb.png!small

将配置参数传入

org.apache.kafka.clients.producer.KafkaProducer#KafkaProducer(org.apache.kafka.clients.producer.ProducerConfig,org.apache.kafka.common.serialization.Serializer

1686306159_6482fd6f140200f9ba1c7.png!small

赋值后调用

org.apache.kafka.clients.producer.KafkaProducer#newSender

1686306168_6482fd783d90a3ba56593.png!small

1686306176_6482fd8010c7072b54ad0.png!small

调用到

org.apache.kafka.clients.ClientUtils#createChannelBuilder

1686306183_6482fd879a08891c3f5ac.png!small

赋值后调用

org.apache.kafka.common.network.ChannelBuilders#clientChannelBuilder

1686306190_6482fd8eb4611292fa358.png!small

这里对值做了一个判断后调用

org.apache.kafka.common.network.ChannelBuilders#create

1686306198_6482fd96cc7cc8ae56121.png!small

1686306206_6482fd9e2c14e98e8c128.png!small

1686306213_6482fda5b24593dec41ae.png!small

Create方法中得到map型的configs后进行switch,得到SaslChannelBuilder类型channelBuilder的对象,switch结束后调用了

org.apache.kafka.common.network.SaslChannelBuilder#configure

1686306220_6482fdace241f5525573d.png!small

1686306228_6482fdb4500c152112d57.png!small

org.apache.kafka.common.network.SaslChannelBuilder#configure

进入循环后到

org.apache.kafka.common.security.authenticator.LoginManager#acquireLoginManager

1686306236_6482fdbcb7a8c13120add.png!small

1686306244_6482fdc40b30e903b2b09.png!small

1686306250_6482fdcac8d2732804dea.png!small

判断值后到

org.apache.kafka.common.security.authenticator.LoginManager#LoginManager

1686306258_6482fdd20ebbd5f3e0743.png!small

1686306264_6482fdd861a83c6bf72a5.png!small

跟进到

org.apache.kafka.common.security.authenticator.AbstractLogin#login

1686306271_6482fddfd8a3523d03a2b.png!small

调用

javax.security.auth.login.LoginContext#login

1686306279_6482fde797b4f7f5ddd4b.png!small

调用

javax.security.auth.login.LoginContext#invokePriv

1686306288_6482fdf04e00cd71ef464.png!small

调用

javax.security.auth.login.LoginContext#invoke

进行逻辑判断后调用initialize方法

1686306296_6482fdf8043605e3dfbd6.png!small

1686306304_6482fe000e4d00c9468c3.png!small

Initialize中得到userProvider

1686306312_6482fe08827424a5d03d7.png!small

user.provider.url通过jndi提供

1686306319_6482fe0f66efd8a625d85.png!small

调用

com.sun.security.auth.module.JndiLoginModule#login

1686306326_6482fe16b86bb63610aa9.png!small

调用

com.sun.security.auth.module.JndiLoginModule#attemptAuthentication

1686306334_6482fe1ebec56dc03949c.png!small

通过

javax.naming.InitialContext#lookup(java.lang.String)

执行userProvider的值

1686306344_6482fe287ce6929e9846f.png!small

1686306352_6482fe3014b5aa33174bd.png!small

由于RASP对javax.naming.InitialContext.lookup调用做了防护策略检测,所以会在此处拦截。

Reference

网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-wWI6EM6a-1689993671153)(C:\Users\Administrator\Desktop\网络安全资料图\微信截图_20230201105953.png)]

第三阶段:进阶部分(中级网络安全工程师)

[外链图片转存中…(img-QOzaTlMa-1689993671152)]

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

[外链图片转存中…(img-wWI6EM6a-1689993671153)]

程序员负总裁
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞预警|Apache Karaf 存在远程代码执行漏洞
LJQClqjc的博客
12-23 609
棱镜七彩漏洞预警
Goby 漏洞发布|Apache Druid Kafka Connect 远程代码执行漏洞CVE-2024-25194)_druid kafka漏洞
最新发布
2301_82243100的博客
04-15 463
它设计用于处理大规模的实时数据,并提供快速的交互式查询和分析。Apache Druid 使用了存在漏洞Kafka Connect攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为恶意类,进而可导致JNDI注入漏洞,可通过该漏洞在服务器端任意执行代码,写入后门,获取服务器权限,进而控制整个web服务器。感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
Apache Karaf 存在远程代码执行漏洞
OSCS开源安全社区
12-23 1181
Apache Karaf 的受影响版本中由于 jaas.modules.src.main.java.porg.apache.karaf.jass.modules.jdbc.JDBCUtils#doCreateDatasourceuse 中的 lookup 方法没有对 jndiName 有效过滤从而存在远程代码执行漏洞。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。
修复 Apache Kafka 中的远程代码执行漏洞CVE-2023-25194
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
11-30 991
Kafka Connect 中发现可能的 RCE 和拒绝服务问题。更新 阿帕奇软件基金会 (ASF) 已解决了一个漏洞,该漏洞可被利用来使用 Kafka Connect 发起远程代码执行 (RCE) 攻击。该关键漏洞于 2 月 8 日公布,被追踪为 CVE-2023-25194Apache Kafka ConnectApache Kafka 的一个免费开源组件,是系统、数据库和键值存储之间数据集成的中心枢纽。
CVE-2018-11788:Apache Karaf XXE漏洞CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入)漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
Apache Kafka 2.8.1 (kafka-2.8.1-src.tgz源代码)
02-17
作为源代码版本,`kafka-2.8.1-src.tgz` 包含了构建和自定义Kafka所需的所有文件,使得开发者能够深入理解其内部工作原理,并进行定制化开发或优化。 Kafka的核心特性包括: 1. **发布/订阅模型**:Kafka采用发布/...
perl-Net-Kafka:Net :: Kafka-Apache Kafka的高性能Perl客户端
02-05
标题"perl-Net-Kafka:Net :: Kafka-Apache Kafka的高性能Perl客户端"指出了我们讨论的主题是Perl语言的一个库——Net::Kafka,它是一个专门为Apache Kafka设计的高性能客户端。Apache Kafka是一种分布式流处理平台...
kafka-ui:用于Apache Kafka管理的开源Web GUI
03-29
Kafka UI – Kafka的免费Web UI Kafka UI是一个免费的开源Web UI,用于监视和管理Apache Kafka集群。 Kafka UI是一个简单的工具,可让您观察到数据流,帮助更快地查找和排除问题并提供最佳性能。 它轻巧的仪表板使您...
kafka-streams-running-topN:使用Apache Kafka Streams运行前N个聚合
02-05
kafka-streams-running-topN 使用Apache Kafka Streams运行Top N聚合 以下博客文章中讨论了有关此应用程序的详细信息: Apache Kafka Streams –按维度分组的运行Top-N聚合–往返Kafka主题-https: Kafka Streams...
Apache Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
0xSec
03-18 6191
Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。
漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入(CVE-2023-25194
murphysec的博客
02-13 4609
Apache Kafka ConnectKafka中用于和其他数据系统传输数据的服务,其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动,默认会在8083端口开启HTTP REST API服务,可对连接器(Connector)的配置进行操作
Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
qq_40646572的博客
05-14 2044
2、无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。在该功能中,将payload填写到Consumer properties属性值中即可。在payload提交前,请先在vps机器中开启ldap服务。在Load data功能页中的Streaming功能中。我是通过vulhub下载的环境,下载后直接启动即可。打开页面,漏洞点在Load data功能页中。使用低版本的jdk中的ldap服务即可。
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Fiverya的博客
02-10 3717
CVE-2023-25194漏洞
Apache Spark远程代码执行漏洞(CVE-2023-32007)漏洞复现
失心少年
08-24 1170
技术文章仅供参考,任何个人和组织使用网络应当遵守宪法法律,遵守公共秩序,尊重社会公德,不得利用网络从事危害国家安全、荣誉和利益,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!Apache Spark 3.4.0之前版本存在命令注入漏洞,该漏洞源于如果ACL启用后,HttpSecurityFilter中的代码路径可以允许通过提供任意用户名来执行模拟,这将导致任意shell命令执行
Apache Kafka 漏洞CVE-2023-25194】说明及解决建议
热门推荐
EdwardWang_的博客
02-10 1万+
Apache Kafka 漏洞CVE-2023-25194】说明 及 解决建议
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
追光者的博客
03-12 460
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析
蚁景网安学院
03-23 599
Apache Kafka是一个开源的分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。
CVE-2023-3519
07-27
- *2* *3* [Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析](https://blog.csdn.net/qq_38154820/article/details/129731587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值