在野0Day漏洞预警｜Apache Druid远程代码执行漏洞（内附检测工具）

漏洞详情：【Apache Druid远程代码执行漏洞】(https://stack.chaitin.com/vuldb/detail?id=73456e9f-cd9d-4419-b6b2-4c86cc3bdb28)

Apache Druid 是一款高性能实时大数据分析引擎，支持快速数据摄取、实时查询和数据可视化。主要应用于OLAP（在线分析处理）场景，可以处理PB级数据。 Druid具有高扩展性、低延迟和高吞吐量的特点，广泛应用于实时监控、事件驱动分析、用户行为分析、网络安全等领域。通过使用Druid，企业和开发者可以快速获取实时分析结果，提高决策效率。

近日，Apache Kafka官方发布了关于Apache Kafka Connect JNDI注入漏洞（CVE-2023-25194）的公告。此漏洞需要低版本的JDK 或目标Kafka Connect 系统中存在漏洞利用链。但由于该漏洞的触发条件非常严格，几乎不可能找到可利用的触发点。

长汀安全研究团队对该漏洞进行分析后发现，Apache Druid正好满足Kafka CVE的严苛利用条件，可以成功触发远程代码执行漏洞。

根据该漏洞的原理，长汀应急团队编写了X-RAY远程检测工具和本地检测工具供大家下载使用。同时，本文还提供了对该资产进行故障排除的方法。

**远程检测工具**：

复制链接：[https://stack.chaitin.com/tool/detail?id=1](https://stack.chaitin.com/tool/detail?id=1) 前往xray - CT Stack 安全社区下载最新版本的xray。

执行：/xray ws --poc poc-yaml-apache-druid-kafka-rce --url http://example.com 进行扫描。需要注意的是，检测该漏洞需要配置反连接平台。

**本地检测工具**：

复制链接：[https://stack.chaitin.com/tool/detail?id=735](https://stack.chaitin.com/tool/detail?id=735) 前往CT Stack安全社区下载牧云本地检测工具。

执行：/apache_druid_rce_scanner_linux_amd64 scan进行扫描。

## **漏洞描述**

Apache Druid 支持从Kafka 加载数据。恶意攻击者还可以通过修改Kafka连接配置属性来进一步触发JNDI注入攻击。最终，攻击者可以在服务器端执行任意恶意代码并获取系统服务权限。

对于攻击者来说，利用该漏洞不需要认证和鉴权，默认配置下的Apache Druid就会受到该漏洞的影响。

## **影响范围**

Apache Druid 完整版

## **资产检查**

title_string=\'阿帕奇德鲁伊\'

body_string=\'Apache Druid 控制台\'

根据指纹特征筛选出相关系统并尝试访问该系统。如果没有身份认证机制，可以使用检测工具来验证漏洞是否存在。

＃＃ **解决方案**

启用Apache Druid 的身份验证配置：

[https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html](https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html)

## **产品支持**

云图：默认支持本产品的指纹识别，也支持该漏洞的PoC原理检测。

雷驰：5.3.8/4.6.8版本开始支持该漏洞检测。

All-in-one：默认支持对该漏洞的利用检测。

洞察：可以使用自定义PoC 检测此漏洞。要检测该漏洞，需要配置rmi反连接平台。

牧云：默认支持对应资产采集，升级平台已发布漏洞匹配升级包（VULN-23.04.018）。

Listening：从DS-S(H)40-22.12.001版本开始支持该漏洞检测。

## **参考链接**

[https://druid.apache.org/](https://druid.apache.org/)