【漏洞通告】Apache Druid 远程代码执行漏洞 (CVE-2021-25646)

深信服千里目安全实验室 · 公众号 · · 2021-02-01 19:03

正文

漏洞名称 : Apache Druid 远程代码执行漏洞 CVE-2021-25646

组件名称 : Apache Druid

威胁等级 : 高危

影响范围 : Apache Druid < 0.20.1

漏洞类型 : 远程代码执行

利用条件 : 1、用户认证：不需要用户认证

2、触发方式：远程

造成后果 : 攻击者通过精心构造的恶意请求执行任意代码，控制服务器。

漏洞分析

1 组件介绍

Apache Druid 是一个分布式的、支持实时多维 OLAP 分析的数据处理系统。它既支持高速的数据实时摄入处理，也支持实时且灵活的多维数据分析查询。因此 Druid 最常用的场景就是大数据背景下、灵活快速的多维 OLAP 分析。Druid 还支持根据时间戳对数据进行预聚合摄入和聚合分析，因此也有用户经常在有时序数据处理分析的场景中使用。

2 漏洞描述

2021年2月1日，深信服安全团队监测到一则Apache Druid组件存在远程代码执行漏洞的信息，漏洞编号：CVE-2021-25646，漏洞危害：高危。该漏洞是由于Apache Druid 默认情况下缺乏授权认证，攻击者可直接构造恶意请求执行任意代码，控制服务器。

影响范围

Apache Druid 是为大型数据集上的高性能片断分析（“OLAP”查询）设计的数据存储，Druid通常用作为GUI分析应用程序提供动力的数据存储，或者用作需要快速聚合的高并发API的后端。全球共计3万多台存活主机，中国地区存活主机占比10%，主要集中在北京、广东、上海等地区。Apache Druid因其强大的功能常用于点击流分析(web和移动分析)、网络遥测分析(网络性能监控)、服务器指标存储、供应链分析（制造指标）、应用程序性能度量、数字营销/广告分析、商业智能/联机分析处理等重要场景。