Kafka反序列化RCE漏洞(CVE-2023-34040)

合天网安实验室2023-11-04 11:14

漏洞描述

Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录 (record) 指 Kafka 消息中的一条记录。

受影响版本中默认未对记录配置 ErrorHandlingDeserializer,当用户将容器属性 checkDeserExWhenKeyNullcheckDeserExWhenValueNull 设置为 true(默认为 false),并且允许不受信任的源发布到 Kafka 主题中时,攻击者可将恶意 payload 注入到 Kafka 主题中,当反序列化记录头时远程执行任意代码。

影响版本

2.8.1 <= Spring-Kafka <= 2.9.103.0.0 <= Spring-Kafka <= 3.0.9

漏洞复现

这一个漏洞所影响的组件其实是 Spring-Kafka,严格意义上来说并不算是 kafka 的漏洞,应该算是 Spring 的漏洞。

漏洞前置知识

先来看一看 SpringBoot 和 Kafka 是怎么完成通讯/消费的

工作流程如下

1、生产者将消息发送到 Kafka 集群中的某个 Broker(也可以是多个)2、Kafka 集群将消息存储在一个或多个分区中,并为每个分区维护一个偏移量3、消费者订阅一个或多个主题,并从 Kafka 集群中读取消息。4、消费者按顺序读取每个分区中的消息,并跟踪每个分区的偏移量。

  • ErrorHandlingDeserializer:是 Kafka中的一种反序列化器(Deserializer),它可以在反序列化过程中处理异常和错误。

  • checkDeserExWhenKeyNull && checkDeserExWhenValueNull:是 Kafka 中的一种序列化器(Serializer),它可以在序列化过程中检查键(key/value)是否为 null,并在发现值为 null 时抛出异常。

再简单整理一下漏洞条件

在受到影响的版本中,默认未对记录配置 ErrorHandlingDeserializer容器属性 checkDeserExWhenKeyNullcheckDeserExWhenValueNull 设置为 true

环境搭建

其中需要我们起一个 Kafka 的服务,用来接收消息,本机上起比较麻烦,可以在 vps 上用 docker 迅速搭建,且需注意,Kafka 要能够接受外连,docker-compose.yml 如下

ruby 复制代码 
version: '2'​services:  zookeeper:    image: zookeeper    restart: always    ports:      - "2181:2181"    container_name: zookeeper​  kafka:    image: wurstmeister/kafka    restart: always    ports:      - "9092:9092"      - "9094:9094"    depends_on:      - zookeeper    environment:      KAFKA_ADVERTISED_HOST_NAME: 124.222.21.138      KAFKA_ZOOKEEPER_CONNECT: zookeeper:2181      KAFKA_LISTENERS: PLAINTEXT://0.0.0.0:9092,SSL://0.0.0.0:9094      KAFKA_ADVERTISED_LISTENERS: PLAINTEXT://124.222.21.138:9092,SSL://124.222.21.138:9094      KAFKA_LISTENER_SECURITY_PROTOCOL_MAP: PLAINTEXT:PLAINTEXT,SSL:SSL      KAFKA_INTER_BROKER_LISTENER_NAME: PLAINTEXT    container_name: kafka​

Spring Kafka 的生产者和消费者可以通过使用 Spring Kafka 提供的 KafkaTemplate `@KafkaListener 注解来编写。

帮助网安学习,全套资料S信领取:

① 网安学习成长路径思维导图

② 60+网安经典常用工具包

③ 100+SRC漏洞分析报告

④ 150+网安攻防实战技术电子书

⑤ 最权威CISSP 认证考试指南+题库

⑥ 超1800页CTF实战技巧手册

⑦ 最新网安大厂面试题合集(含答案)

⑧ APP客户端安全检测指南(安卓+IOS)

生产者可以使用 KafkaTemplate 来发送消息到 Kafka 集群:

kotlin 复制代码 
package com.drunkbaby.springkafkatest.controller;    import com.drunkbaby.springkafkatest.common.KafkaInfo;  import org.springframework.beans.factory.annotation.Autowired;  import org.springframework.kafka.core.KafkaTemplate;  import org.springframework.kafka.support.SendResult;  import org.springframework.util.concurrent.ListenableFuture;  import org.springframework.web.bind.annotation.PostMapping;  import org.springframework.web.bind.annotation.RequestMapping;  import org.springframework.web.bind.annotation.RestController;    import java.time.LocalDateTime;  import java.util.concurrent.ExecutionException;    @RestController  @RequestMapping("/producer")  public class ProducerController {      @Autowired      private KafkaTemplate<String,String> kafkaTemplate;        @PostMapping("/fireAndForget")      public String fireAndForget() {          kafkaTemplate.send(KafkaInfo.TOPIC_WELCOME, "fireAndForget:" + LocalDateTime.now());          return "success";      }  }

消费者可以使用 @KafkaListener 注解来监听 Kafka 集群中的消息:

kotlin 复制代码 
package com.drunkbaby.springkafkatest.consumer;    import com.drunkbaby.springkafkatest.common.KafkaInfo;  import org.springframework.kafka.annotation.KafkaListener;  import org.springframework.messaging.MessageHeaders;  import org.springframework.messaging.handler.annotation.Headers;  import org.springframework.messaging.handler.annotation.Payload;  import org.springframework.stereotype.Component;    @Component  public class Consumer {      @KafkaListener(topics = KafkaInfo.TOPIC_WELCOME)      public String consumer2(@Payload String message, @Headers MessageHeaders headers) {          System.out.println("消费者(注解方式):收到消息==> ");          System.out.println("  message:" + message);          System.out.println("  headers:");          headers.keySet().forEach(key -> System.out.println("    " + key + ":" + headers.get(key)));          return "success";      }

连接成功

访问 [http://localhost:8083/producer/sync](http://localhost:8083/producer/sync) 发送一条记录

构造 payload

实际影响到的是 Consumer,且 Consumer 要设置 checkDeserExWhenKeyNullcheckDeserExWhenValueNull 为 true

dart 复制代码 
ConcurrentKafkaListenerContainerFactory<String, Greeting> factory = new ConcurrentKafkaListenerContainerFactory<>();  factory.getContainerProperties().setCheckDeserExWhenValueNull(true);  factory.getContainerProperties().setCheckDeserExWhenKeyNull(true);

payload 参考 github.com/Contrast-Se...

漏洞分析

主要是来看反序列化的部分

断点会先走到 org.springframework.kafka.listener.ListenerUtils#getExceptionFromHeader 方法,它这里面会获取到 PoC 中的 KEY_DESERIALIZER_EXCEPTION_HEADER,并将其作为 headers

往下跟进 byteArrayToDeserializationException() 方法,这里就直接到反序列化的部分了,而在反序列化之前做了一次 resolveClass() 的校验。

而这里的 resolveClass() 校验是一次性的,这就代表我们可以构造其他的 Payload,如 CC 链等,证实是可以打通的

之后便会进入到对应类的 readObject() 方法

漏洞修复

github.com/spring-proj...

相当于把这里的 header 头加黑了

相关推荐
速盾cdn23 分钟前
速盾:网页游戏部署高防服务器有什么优势?
服务器·前端·web安全
小白求学125 分钟前
CSS浮动
前端·css·css3
什么鬼昵称26 分钟前
Pikachu-csrf-CSRF(POST)
前端·csrf
golitter.43 分钟前
Vue组件库Element-ui
前端·vue.js·ui
青云交1 小时前
大数据新视界 --大数据大厂之 Kafka 性能优化的进阶之道:应对海量数据的高效传输
大数据·数据库·人工智能·性能优化·kafka·数据压缩·分区策略·磁盘 i/o
golitter.1 小时前
Ajax和axios简单用法
前端·ajax·okhttp
雷特IT1 小时前
Uncaught TypeError: 0 is not a function的解决方法
前端·javascript
长路 ㅤ   2 小时前
vite学习教程02、vite+vue2配置环境变量
前端·vite·环境变量·跨环境配置
亚里士多没有德7752 小时前
强制删除了windows自带的edge浏览器,重装不了怎么办【已解决】
前端·edge
micro2010142 小时前
Microsoft Edge 离线安装包制作或获取方法和下载地址分享
前端·edge
热门推荐
01【经验分享】Ubuntu22.04安装微信(linux官方版)02安卓系列机型永久去除data分区加密 详细步骤解析032024年高教社杯数学建模国赛C题超详细解题思路分析04CTF网络安全大赛简单的web抓包题目:HEADache05组基轨迹建模 GBTM的介绍与实现(Stata 或 R)06【2024数模国赛赛题思路公开】国赛B题思路丨附可运行代码丨无偿自提07【极空间NAS】使用WebDAV服务 + DDNSTO内网穿透 实现思源笔记的内外网同步08苍穹外卖面试总结09【2024高教社杯全国大学生数学建模竞赛】B题 生产过程中的决策问题——解题思路 代码 论文10pve(Proxmox VE)安装i225v网卡驱动