RASP| Apache Spark Shell(CVE-2022-33891)

admin
admin
admin
139622
文章
114
评论
2022年8月14日15:05:35评论41 views字数 2167阅读7分13秒阅读模式
    Apache发布安全公告,修复了一个Apache Spark中存在的命令注入漏洞。漏洞编号:CVE-2022-33891,漏洞威胁等级:高危。
    Apache Spark UI提供了通过配置选项Spark.acl.enable启用acl的可能性。使用身份验证过滤器,这将检查用户是否具有查看或修改应用程序的访问权限。
    如果启用了acl,HttpSecurityFilter中的代码路径可以允许某人通过提供任意用户名来执行模拟。恶意用户可能能够访问权限检查功能,该功能最终将根据他们的输入构建一个UnixShell命令并执行它。这将导致任意 shell 命令执行。

    影响版本如下:

  • Spark Core - Apache <=3.0.3

  • 3.1.1 <= Spark Core - Apache <=3.1.2

  • 3.2.0 <= Spark Core - Apache <=3.2.1

环境搭建

    

下载 Apache Spark 3.2.1 

https://repo.huaweicloud.com/apache/spark/spark-3.2.1/spark-3.2.1-bin-hadoop2.7.tgz


RASP| Apache Spark Shell(CVE-2022-33891)



    漏洞触发的关键在于是否启用ACL,使用身份验证过滤器。启用ACL的方式:
1、通过设置选项 spark.acls.enable 启用 。
2、运行spark-shell时,通过-c(--conf)参数启动。

./spark-shell --conf spark.acls.enable=true


RASP| Apache Spark Shell(CVE-2022-33891)


漏洞复现


RASP| Apache Spark Shell(CVE-2022-33891)


管理端:

RASP| Apache Spark Shell(CVE-2022-33891)


补充说明


     spark-ui内置jetty处理http请求,并且使用 shade 打包方式修改了 jetty 包的前缀。rasp一般hook的jetty类全限定名称:

org.eclipse.jetty.server.Server

而 spark-ui中该类的名称

org.sparkproject.jetty.server.Server

     对于这种场景,RASP必然丢失http参数。为了解决上面的问题,传统RASP需要修改代码,即:增加hook类、打包编译agent、重新发布、推动业务进程重启的流程(需要重启升级);而 jrasp 仅需要新增 hook 模块,无需重启业务,下发立即生效。

    spark-jetty-hook 模块部分代码:

    /**     * 1.重置绑定在线程上的线程本地变量,防止线程脏数据;     * 2.绑定本次请求信息;     * 3.如果请求逻辑没有走到这里,将出现脏数据     */    public void jettyRequestPreHook() {        new EventWatchBuilder(moduleEventWatcher)                .onClass("org.sparkproject.jetty.server.Server")                .includeBootstrap()                .onBehavior("handle")                .withParameterTypes("org.sparkproject.jetty.server.HttpChannel")                .onWatch(new AdviceListener() {                    @Override                    public void before(Advice advice) throws Throwable {                        if (!enableCheck) {                            return;                        }                        // 清除上次请求的 requestInfo 信息,防止脏数据                        requestInfoThreadLocal.remove();                        // 绑定本次请求的请求头                        Object httpChannel = advice.getParameterArray()[0];                        if (httpChannel == null) {                            return;                        }                        if (getRequest == null) {                            getRequest = httpChannel.getClass().getMethod("getRequest");                        }                        Object httpRequest = ReflectUtils.invokeMethod(getRequest, httpChannel);                        HashMap<String, Object> context = requestInfoThreadLocal.get();
                        // 俘虏HttpServletRequest参数为傀儡                        final IHttpServletRequest httpServletRequest = puppet(IHttpServletRequest.class, httpRequest);
                        storeRequestInfo(context, httpServletRequest);                    }
                    @Override                    public void afterThrowing(Advice advice) throws Throwable {                        // 代码执行异常情况清除 context 信息,防止内存泄漏                        requestInfoThreadLocal.remove();                    }                });    }


-----------------------------------------------------------------------

🔥🔥🔥国内技术领先的开源RASP社区  https://www.jrasp.com

原文始发于微信公众号(RASP安全技术):RASP| Apache Spark Shell(CVE-2022-33891)

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月14日15:05:35
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   RASP| Apache Spark Shell(CVE-2022-33891)https://cn-sec.com/archives/1236434.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息