企业动态

    奇安信CERT

    致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

    近日，奇安信CERT监测到ApacheDruid任意文件读取漏洞细节及EXP在互联网公开，攻击者可通过将文件URL传递给HTTPInputSource来绕过应用程序级别的限制。由于ApacheDruid默认情况下缺乏授权认证，攻击者可构造恶意请求，在未授权情况下利用该漏洞读取任意文件，最终导致服务器敏感信息泄露。目前，Apache官方已发布可更新版本，建议客户尽快自查修复。

    当前漏洞状态

    漏洞描述

    ApacheDruid是一个实时分析型数据库，旨在对大型数据集进行快速的查询分析（"OLAP"查询)。Druid最常被当做数据库来用以支持实时摄取、高性能查询和高稳定运行的应用场景，同时，Druid也通常被用来助力分析型应用的图形化界面，或者当做需要快速聚合的高并发后端API，Druid最适合应用于面向事件类型的数据。

    ApacheDruidHTTPInputSource存在任意文件读取漏洞。在ApacheDruid系统中，InputSource用于从某个数据源读取数据。由于没有对用户可控的HTTPInputSource做限制，ApacheDruid允许经过身份验证的用户以Druid服务器进程的权限从指定数据源读取数据，包括本地文件系统。攻击者可通过将文件URL传递给HTTPInputSource来绕过应用程序级别的限制。由于ApacheDruid默认情况下缺乏授权认证，攻击者可构造恶意请求，在未授权情况下利用该漏洞读取任意文件，最终导致服务器敏感信息泄露。

    1、CVE-2021-36749ApacheDruid任意文件读取漏洞

    鉴于此漏洞细节及EXP已在互联网公开，建议客户尽快自查修复。奇安信CERT已复现此漏洞，复现截图如下：

    风险等级

    奇安信CERT风险评级为：高危

    风险等级：蓝色（一般事件）

    影响范围

    ApacheDruid

    处置建议

    请尽快升级至安全版本（ApacheDruid0.22.0）：

    https://druid.apache.org/downloads.html

    产品解决方案

    奇安信网神网络数据传感器系统产品检测方案

    奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7059，建议用户尽快升级检测规则库至2111191900以后版本并启用该检测规则。

    奇安信天眼产品解决方案

    奇安信天眼新一代威胁感知系统在第一时间加入了该漏洞的检测规则，请将规则包升级到3.0.1119.13116上版本。规则名称：ApacheDruid任意文件读取漏洞(CVE-2021-36749)，规则ID：0x10020E15。奇安信天眼流量探针（传感器）升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

    奇安信开源卫士已支持

    奇安信开源卫士20211119.884版本已支持对ApacheDruid任意文件读取漏洞(CVE-2021-36749)的检测。

    奇安信网神智慧防火墙产品防护方案

    奇安信新一代智慧防火墙（NSG3000/5000/7000/9000系列）和下一代极速防火墙（NSG3500/5500/7500/9500系列）产品系列，已通过更新IPS特征库完成了对该漏洞的防护。建议用户尽快将IPS特征库升级至”2111191830”及以上版本并启用规则ID:4352101进行检测。

    奇安信网站应用安全云防护系统已更新防护特征库

    奇安信网神网站应用安全云防护系统已全面支持对ApacheDruid任意文件读取漏洞(CVE-2021-36749)的防护。

    参考资料

    [1]https://lists.apache.org/thread/nvsvcxdwy9wlq45qcml0j5bp9kl0d8f7

    时间线

    2021年11月19日，奇安信CERT发布安全风险通告

    到奇安信NOX-安全监测平台查询更多漏洞详情

    奇安信CERT长期招募安全研究员