大工网安告[2023]017

一、情况分析

Apache Druid是一个高性能的、实时的分布式数据存储系统，用于快速地处理大规模的事件数据并支持实时查询和分析。Apache Druid基于列式存储和索引、Lambda架构和大数据生态系统构建而成，支持多维度数据的实时OLAP（联机分析处理），以及支持流式数据的实时交互式查询，广泛应用于面向客户的数据分析、实时监控、预测分析、日志处理等场景。Apache Druid远程代码执行漏洞存在在野利用，攻击者利用该漏洞可在目标服务器上执行任意代码。

由于Apache Druid支持从Kafka加载数据，未经身份验证的恶意攻击者通过修改Kafka连接配置属性，从而触发JNDI注入攻击，成功利用此漏洞可在目标服务上执行任意代码，获取目标系统的控制权限。

二、影响范围

Apache Druid全版本

三、处置建议

Apache Druid开启认证配置。参考链接：https://druid.apache.org/docs/latest/development/extensions-core/druid-basic-security.html

参考链接：https://druid.apache.org/