Apache Pinot 漏洞允许攻击者绕过身份验证

Apache Pinot（LinkedIn、Uber 和 Microsoft 用于实时分析的开源分布式 OLAP 数据存储）中存在一个严重安全漏洞 （CVE-2024-56325），允许未经身份验证的攻击者绕过身份验证控制并获得完整的系统访问权限。

该漏洞在 CVSS v3 量表（最高严重性评分）中被评为 9.8，使组织面临数据泄露、权限提升和基础设施泄露的风险。

Apache Pinot 漏洞

该漏洞源于未正确中和处理 API 端点的 URI 验证的 AuthenticationFilter 类 （org.apache.pinot.core.auth.AuthenticationFilter） 中的特殊字符。

攻击者可以构建包含特殊编码序列（如 %2e%2e/）或 null 字节注入的 HTTP 请求，以绕过路径规范化检查。例如：

此负载利用 shouldAllowUnauthenticatedAccess（） 方法中的清理不足，诱使过滤器将 /config 或 /tables 等受限端点错误分类为公共路由。

该漏洞违反了 CWE-707（“控制元件的不当中和”）并影响：

• Apache Pinot Broker：0.12.0 到 1.2.0

• Apache Pinot 控制器：0.7.0 到 1.2.0

成功利用此漏洞会向攻击者授予与经过身份验证的用户相同的权限，从而能够访问内部 API、Zookeeper 配置（通过 /appConfigs 端点）和 Groovy 脚本执行接口。

安全分析师证实，这为通过恶意查询注入的远程代码执行 （RCE） 创造了直接途径。

运营影响和攻击面

Apache Pinot 的架构专为跨 PB 级数据集的低延迟查询而设计，使受损实例成为高价值目标。攻击者可以：

• 从实时分析管道中泄露敏感的 PII/PHI 数据

• 通过欺诈性记录注入纵财务报告指标

• 破坏制造环境中的 IoT 传感器分析

• 转向 Kafka 或 Hadoop 集群等集成系统

Trend Micro 的 Zero Day Initiative （ZDI） 将漏洞跟踪为 ZDI-CAN-24001，确认漏洞利用代码只需要基本的 HTTP作技能。

缓解和补丁部署

Apache 通过使用 Java 的 URI.normalize（） 方法结合基于正则表达式的路径验证改进 URI 规范化，解决了 Pinot 1.3.0 中的漏洞。管理员必须：

升级后，组织应：

• 通过 pinot.controller.access.protocols=http+rbac 实现基于角色的访问控制 （RBAC）

• 使用 pinot.server.instance.enable.groovy=false 禁用 Groovy 脚本

• 部署阻止包含 ..、%252e%252e 或 %00 序列的 URI 的 WAF 规则

此事件凸显了高性能数据基础设施中不断升级的风险，其中身份验证逻辑通常落后于查询优化工作。

它反映了 Elasticsearch （CVE-2024-35253） 和 MongoDB Atlas （CVE-2024-48721） 中的最新漏洞，强调了在分布式系统中进行运行时 CVE 监控的必要性。

使用 Apache Pinot 进行实时分析的安全团队应对访问日志进行取证审计，以查找 HTTP 200 对 /. 的响应等模式。来自未经身份验证的 IP 的请求。

根据 IBM 的 2025 年威胁情报指数，78% 的数据泄露源于身份验证绕过漏洞，因此该漏洞是一个关键提醒，提醒我们优先考虑分布式架构中的输入验证。

原文来自: cybersecuritynews.com