【漏洞通报】Kafbat Kafka-ui远程代码执行漏洞

漏洞情况

近期，火山信安实验室监测到CVE-2024-24780 是 Apache IoTDB 中一个严重的远程代码执行（RCE）漏洞，其核心问题在于用户自定义函数（UDF）功能模块在处理用户提交的代码时，缺乏必要的安全限制和验证机制。这一设计缺陷使得攻击者能够通过构造恶意 UDF 代码，绕过安全防护，直接在 IoTDB 服务器上执行任意命令，从而完全控制受影响的系统。该漏洞的等级为严重。

Apache IoTDB 是一个开源的物联网时序数据库，专为管理大规模时序数据而设计。UDF（用户自定义函数）功能允许用户编写自定义代码来扩展数据库的功能。

0x01漏洞利用方式

攻击者编写包含恶意逻辑的 UDF 代码，例如调用系统命令或执行其他危险操作，通过 IoTDB 的接口或配置机制，将恶意 UDF 上传到服务器，利用 IoTDB 的功能或通过其他方式触发恶意 UDF 的执行，从而在服务器上执行任意命令，一旦恶意代码执行成功，攻击者可能获得服务器的控制权，进一步进行数据窃取、篡改或破坏等操作。

0x02影响范围

• 该漏洞主要影响特定版本的 Apache IoTDB，具体版本号需参考官方安全公告。一般来说，旧版本或未及时更新的版本更容易受到攻击
• 任何部署了受影响版本 Apache IoTDB 的环境都可能面临风险，尤其是那些暴露在公共网络或未受充分保护的环境

0x03修复方案

1. 升级到安全版本：升级到最新版本，确保已修复 CVE-2024-24780 漏洞
2. 为 UDF 分配执行所需的最小权限，避免以高权限用户身份运行
3. 对上传的 UDF 代码进行严格的审查，确保不包含恶意逻辑
4. 使用自动化工具对 UDF 代码进行扫描，检测潜在的安全风险
5. 考虑在沙箱环境中运行 UDF，限制其对系统资源的访问

来源自：广州盈基信息官网