Apache Druid 远程代码执行漏洞预警

漏洞描述

Apache Druid是一款专为这些大规模数据处理问题而设计的开源数据存储和查询引擎。它具有以下特点：

1.实时数据处理：Apache Druid能够快速处理大规模数据，包括实时数据流和历史数据。它支持低延迟的实时查询和快速的数据写入。
2.面向列的存储：Apache Druid采用面向列的数据存储方式，这意味着它能够高效地压缩和查询数据，从而提高性能和吞吐量。
3.分布式存储：Apache Druid是一款分布式数据存储系统，可以扩展到数百台服务器，以处理PB级别的数据。
4.多维度聚合：Apache Druid支持多维度聚合查询，用户可以轻松地查询和分析大规模数据集。
5.SQL查询支持：Apache Druid支持SQL查询语言，这使得用户可以使用熟悉的查询语言进行数据分析。

总之，Apache Druid是一款快速、可扩展、多维度的数据存储和查询引擎，适用于大规模实时和历史数据的处理和分析。

该漏洞本质上是由于近期Kafka爆出的 CVE-2023-25194 所导致。

Apache Druid允许从Kafka加载数据，但是如果恶意攻击者修改Kafka连接配置属性，则可以利用此漏洞进一步触发JNDI注入攻击。该攻击可能导致攻击者在服务端执行任意恶意代码，并获得系统服务权限。因此，建议用户在使用Apache Druid时仔细检查Kafka连接配置，确保其安全性并避免遭受此类攻击。

影响版本

全版本

利用条件

需目标可连通互联网

漏洞复现

修复建议

1、为Apache Druid 开启认证配置：Basic Security · Apache Druid
https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html
2、Yakit企业版已支持检测该漏洞

原文始发于微信公众号（四维创智）：Apache Druid 远程代码执行漏洞预警