zookeeper未授权访问漏洞
ZooKeeper 默认开启在 2181 端口,在未进行任何访问控制情况下,攻击者可通过执行 envi 命令获得系统大量的敏感信息,包括系统名称、Java 环境。
¶0x00 ZooKeeper 安装:
Zookeeper 的默认开放端口是 2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gz
tar -zxvf zookeepre-3.4.10.tar.gz
cd zookeeper-3.4.10/
cd conf/
vi zoo.cfg
## 配置单机模式
tickTime=2000
dataDir=/tmp/zookeeper/data
dataLogDir=/tmp/zookeeper/logs
clientPort=2181
bin/zkServer.sh start //启动
## 启动client连接server
bin/zkCli.sh -server localhost:2181
¶0x01 漏洞验证:
执行以下命令即可远程获取该服务器的环境:
echo envi|nc 192.168.15.74 2181
直接连接:
./zkCli.sh -server ip:port
¶其他攻击获取信息
stat:列出关于性能和连接的客户端的统计信息。
echo stat |ncat 127.0.0.1 2181
ruok:测试服务器是否运行在非错误状态。
echo ruok |ncat 127.0.0.1 2181
reqs:列出未完成的请求。
echo reqs |ncat 127.0.0.1 2181
envi:打印有关服务环境的详细信息。
echo envi |ncat 127.0.0.1 2181
dump:列出未完成的会话和临时节点。
echo dump |ncat 127.0.0.1 2181
¶0x02 漏洞修复
禁止把 Zookeeper 直接暴露在公网
添加访问控制,根据情况选择对应方式(认证用户,用户名密码)
zookeeper 有三个端口(可以修改),默认端口作用:
1、2181:对 cline 端提供服务
2、3888:选举 leader 使用
3、2888:集群内机器通讯使用(Leader 监听此端口)
修复办法 1 绑定指定 IP 访问 (推荐):
1、登陆 zookeeper./zkCli.sh -server <IP>:<port>
2、查看当前权限:getAcl /
3、添加可访问 IPsetAcl / ip:192.168.1.xx:cdrwa,ip:192.168.1.xx:cdrwa
4、查看是否正常添加getAcl /
未授权也可以连接,但是查看节点时会报错 “KeeperErrorCode = NoAuth for /”,localhost 都不行,必须填可访问 IP,才能访问。[zk: localhost:2181(CONNECTED) 0] ls /
KeeperErrorCode = NoAuth for /
[zk: localhost:2181(CONNECTED) 1]
回退办法:
使用之前设置的 IP 进行访问:./zkCli.sh -server <IP>:<port>
设置为所有人可访问:setAcl / world:anyone:cdrwa
修复办法 2 添加防火墙访问控制:
配置防火墙策略,只允许指定 IP 访问 2181 端口。
Linux 6:iptables -I INPUT -p tcp --dport 2181 -j DROP
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
iptables -I INPUT -s 172.16.65.xx -p tcp --dport 2181 -j ACCEPT
service iptables save
service iptables restart
iptables -L
Linux 7:firewall-cmd --zone=public --remove-port=2181/tcp --permanent
firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.0.2.181" port protocol="tcp" port="2181" accept"
firewall-cmd --reload
firewall-cmd --list-all
修复办法 3 设置身份验证(需要改程序):
为 ZooKeeper 配置相应的访问权限。
1)增加一个认证用户
addauth digest 用户名: 密码明文addauth digest user1:password1
2)设置权限
setAcl /path auth: 用户名: 密码明文: 权限
setAcl /path digest: 用户名: 密码密文: 权限setAcl /test auth:user1:password1:cdrwa
3)查看 Acl 设置getAcl /path
¶0x03 参考链接:
ZooKeeper 未授权访问漏洞
Linux 系统安全加固 - ZooKeeper 未授权访问漏洞处理
ZooKeeper 未授权访问