漏洞简介
Apache Spark UI 提供了通过配置选项 spark.acls.enable。 使用身份验证过滤器,这检查用户是否有访问权限来查看或修改应用。如果启用了 ACL,则 HttpSecurityFilter 中的代码路径可以允许某人通过提供任意用户名来执行模拟。然后恶意用户可能能够访问权限检查功能,最终将根据他们的输入构建一个 Unix shell 命令,并且执行它。这将导致任意 shell 命令执行。
影响版本:Apache Spark 版本 3.0.3 及更早版本,版本 3.11 至 3.1.2 ,以及版本 3.2.0 至 3.2.1
漏洞复现
下载 Apache Spark 3.2.1 https://archive.apache.org/dist/spark/
https://archive.apache.org/dist/spark/spark-3.2.1/spark-3.2.1-bin-hadoop2.7.tgz
根据描述是需要开启 acl 功能才可以触发漏洞
开启 ACL 可以通过设定启动时的参数 ./spark-shell --conf spark.acls.enable=true 或者在 conf/spark-defaults.conf 中添加 spark.acls.enable true
[img=720,230.16136066288703]https://www.hetianlab.com/headImg.action?news=7e1aaa1f-e9c0-4693-be86-62a8b49cf658.png[/img]
[img=720,175.00308451573102]https://www.hetianlab.com/headImg.action?news=013d8ad4-77d7-453e-b1ea-3df344b00eb1.png[/img]
【----帮助网安学习,以下所有学习资料免费领!加vx:yj009991,备注 “博客园” 获取!】
① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
构造 poc
http://localhost:4040/?doAs=`[command injection here]`
[img=720,389.06832298136646]https://www.hetianlab.com/headImg.action?news=e0250fe7-f79d-4e55-ac57-1e02acfe9dda.png[/img]
[img=720,376.62269129287597]https://www.hetianlab.com/headImg.action?news=59e52908-c557-4f6d-b245-c258f0b659b9.png[/img]
漏洞分析
为了方便调试在启动脚本中添加上调试参数- export SPARK_SUBMIT_OPTS="-agentlib:jdwp=transport=dt_socket,server=y,suspend=n,address=5005"
[img=720,448.3658372562206]https://www.hetianlab.com/headImg.action?news=4bf33510-68f6-4308-b14d-d6e1977fc68e.png[/img]
输入错误的执行语句时的报错信息
[img=720,337.58833426808746]https://www.hetianlab.com/headImg.action?news=d1c45a9c-2f2f-416a-bebf-0f2f9d891790.png[/img]
漏洞的触发大概就在 - org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups
漏洞的调用栈应该为- org.apache.spark.ui.HttpSecurityFilter.doFilter(HttpSecurityFilter.scala:71)
- org.apache.spark.SecurityManager.checkUIViewPermissions(SecurityManager.scala:238)
- org.apache.spark.SecurityManager.isUserInACL(SecurityManager.scala:381)
- org.apache.spark.util.Utils$.getCurrentUserGroups(Utils.scala:2523)
- org.apache.spark.security.ShellBasedGroupsMappingProvider.getGroups(ShellBasedGroupsMappingProvider.scala:34)
- org.apache.spark.security.ShellBasedGroupsMappingProvider.getUnixGroups(ShellBasedGroupsMappingProvider.scala:43)
- org.apache.spark.ui.HttpSecurityFilter#doFilter
获取到参数 doAS 赋值为 effectiveUser 传到函数 checkUIViewPermissions- org.apache.spark.SecurityManager#checkUIViewPermissions
- org.apache.spark.SecurityManager#isUserInACL
- org.apache.spark.util.Utils$#getCurrentUserGroups
- org.apache.spark.security.ShellBasedGroupsMappingProvider#getGroups
- org.apache.spark.security.ShellBasedGroupsMappingProvider#getUnixGroups
通过反引号将想要执行的命令包含起来,拼接到原本的命令执行语句中- org.apache.spark.util.Utils$#executeAndGetOutput
- org.apache.spark.util.Utils$#executeCommand
漏洞补丁
[img=720,116.34868421052632]https://www.hetianlab.com/headImg.action?news=a807fdd3-0c83-4409-8c10-d587f0c3f42c.png[/img]
新版本的修复 删除了 ShellBasedGroupsMappingProvider 中的 bash 的调用,最后执行命令的语句应该变为/usr/bin/id -Gn + 传入参数
更多靶场实验练习、网安学习资料,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
