【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新

  • A+
所属分类:安全漏洞
【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




风险通告



近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。且经过奇安信CERT验证,漏洞仍影响官方发布最新版本0.20.2,需要用户手动开启防护措施。鉴于此漏洞影响较大,建议客户尽快自查修复。


此次更新新增内容:

更新了漏洞定级

新增了修改配置的缓解措施

新增产品线解决方案



当前漏洞状态



细节是否公开

PoC状态

EXP状态

在野利用

未知

未知

未知




漏洞描述

Druid是一个开源的分布式数据存储,旨在商业智能(在线分析处理,OLAP)的事件数据查询。Druid提供了低延迟(实时)数据提取,灵活的数据浏览和快速的数据聚合。


Druid默认使用内置的Derby元数据存储,但是官方推荐生产环境中使用MySQL或PostgreSQL。且漏洞触发需要存在漏洞利用所必须的mysql-connector-java 版本,漏洞利用存在一定限制。


值得注意一点是,在官方发布的最新版本(0.20.2)默认情况下漏洞仍旧可以成功利用,需要用户手动增加druid.access.jdbc.allowedProperties等配置参数来限制JDBC链接 (详细修复方案见处置建议章节)。


奇安信CERT已第一时间复现该漏洞,复现截图如下:

【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新



风险等级

奇安信 CERT风险评级为:中危

风险等级:蓝色(一般事件)


影响范围

Apache Druid < 0.20.2



处置建议

1、请参考以下链接尽快升级至安全版本(Apache Druid 0.20.2):

https://github.com/apache/druid/releases/tag/druid-0.20.2


2、缓解措施(添加授权认证):

  • 引入 druid-basic-security 扩展 

druid.extensions.loadList=["druid-basic-security"]
  • 配置 Authenticator , Escalator , Authorizer

    druid.auth.authenticatorChain=["kerberos", "basic"]

        druid.escalator.type=basic

        druid.auth.authorizers=["basic"]

更多详情请参照:

https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html


3、缓解措施(修改配置):

根据自身业务情况在配置文件中增加druid.access.jdbc.enforceAllowedProperties、 druid.access.jdbc.allowedProperties、druid.access.jdbc.allowUnknownJdbcUrlFormat等属性来限制JDBC连接

更多详情请参照:

https://druid.apache.org/docs/latest/configuration/index.html#ingestion-security-configuration



产品解决方案

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000 系列)产品,已具备该漏

洞的检测能力。规则 ID 为:6323,建议用户尽快升级检测规则库至

2104021722 以后版本并启用该检测规则。


奇安信开源卫士已更新

奇安信开源卫士 20210402. 646 版本已支持对 Apache Druid 远程代码执行漏

洞(CVE-2021-26919)的检测。


奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护

规则,支持对 Apache Druid 远程代码执行漏洞(CVE-2021-26919)的防护。


奇安信天眼产品解决方案

奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请

将规则包升级到 3.0.0402.12724 上版本。规则名称:Apache Druid 远程代码执

行漏洞(CVE-2021-26919),规则 ID:0x10020C2B。奇安信天眼流量探针(传感

器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地

升级”。



参考资料

[1]https://github.com/apache/druid/releases/tag/druid-0.20.2



时间线

2021年3月30日,奇安信 CERT发布安全风险通告

2021年4月2日,奇安信CERT发布安全风险通告第二次更新


【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情






【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新

奇安信CERT长期招募安全研究员

↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓


本文始发于微信公众号(奇安信 CERT):【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: