《Apache Kafka readObject 漏洞分析报告》.PDFVIP

《Apache Kafka readObject 漏洞分析报告》 分析报告 ：Apache Kafka readObject 漏洞分析报告 报告编号：B6-2017-071902 报告来源 ：360 网络安全响应中心 报告作者 ：c1tas 更新日期：2017 年 7 月 19 日 目录 I. 背景介绍 3 II. 漏洞概述 3 III. 漏洞详情 3 A. 简要技术细节 3 B. 影响版本 4 IV. 漏洞细节分析 4 V. 时间线 6 VI. 参考来源 6 I. 背景介绍 Apache Kafka 是开源的Apache 流处理平台由 Apache 编写采用scala 与 java ，该项目旨在于提供一个统一的、高吞吐量的、低延迟的实时数据处理 平台。 II. 漏洞概述 Kafka 内部实现一个带有readObject 方法的并且未带有任何校验的危险 类，如果用户在使用该框架中，使用了该类的话，通过设置相关参数后实例化该 类的时候会导致远程代码执行。 360CERT 对此漏洞进行跟踪分析，考虑到实际生产环境这样的代码逻辑 并不常见，根据影响，确认为中低危漏洞。 III. 漏洞详情 A. 简要技术细节 漏洞成因描述和简要技术细节(可参考官方安全公告technical details) org.apache.kafka.connect.storage.FileOffsetBackingStore 这个 class 拥有一个反序列化操作,在执行 FileOffsetBackingStore 对象的 start 方法时候会触发并反序列恶意序列 化对象，导致代码执行 因为Kafka 是一个开源的框架，如果用户在使用的过程中实现了类似实例 化FileOffsetBackingStore 这个对象，并且传入参数受到控制的业务逻辑的话就 会受到该漏洞的影响 B. 影响版本 Apache Kafka - (latest) 均受到影响 IV. 漏洞细节分析 首先生成一个恶意的对象，这个对象在反序列化后就会执行恶意代码，此 处采用ysoserial.payloads.Jdk7u21 这个开源框架中的方法，直接产生一个恶意 对象 生成这个恶意对象后，将这个对象序列化，然后存储成一个文件，漏洞是 FileOffsetBackingStore 这个只接受文件的class 出的所以需要传入这个文件 可以看到我们将执行的命令是touch 360CERT 创建一个名为360CERT 的文件 接下来给即将实例化的 FileOffsetBackingStore 对象做一些初始化设置， 将要读取的文件路径传入 调用configure 方法后 会设置this.file 这个属性的值，为我们传入的文件 调用start 方法后 所以直接进入load 方法 可以看到这里将this.file 的值读取到is 中，这里就是我们构造的恶意序列 化的对象 而接下来调用的readObject()方法正好会序列化这个对象 可以看到360CERT 这个文件已经被我们创建了 V. 时间线 2017