修复现网漏洞扫描结果项:ZooKeeper 未授权访问[原理扫描]

最新推荐文章于 2024-08-04 11:09:02 发布
原创 最新推荐文章于 2024-08-04 11:09:02 发布 · 1.7k 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#zookeeper #分布式 #云原生 #漏洞修复

项目场景:

某主机漏扫后,有高危风险项需要修复:ZooKeeper 未授权访问[原理扫描]

问题描述

现网zookeeper是kafka自带的,版本号2.8.1 (Commit:839b886f9b732b15)

解决方案:

使用最简单的处理方案,端口加白。
CentOS7.9下,修改/etc/firewalld/zones/public.xml文件,内容为:

<?xml version="1.0" encoding="utf-8"?>
<zone>
  <short>Public</short>
  <description
最低0.47元/天 解锁文章
web渗透测试漏洞ZooKeeper未授权漏洞
HACKONE的博客
03-30 2211
ZooKeeper 是一个分布式的、开源的协调服务,最初由雅虎开发,隶属于 Apache 软件基金会,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件,旨在为大型分布式系统提供一致性的服务。ZooKeeper 的设计目的是简化分布式应用程序的开发和维护,它通过提供一组简单易用的原语和数据模型,为分布式系统中的进程提供协作服务。
Zookeeper未授权访问漏洞修复
码农养家
09-18 1661
Zookeeper未授权访问漏洞修复
Zookeeper未授权访问测试问题
01-20
前言   ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。   zookeeper 未授权访问是指安装部署之后默认情况下不需要任何身份验证,从而导致 zookeeper 被远程利用,导致大量服务级别的信息泄露。   默认使用端口:2181、2182。 探测Zookeeper服务开放   如使用nmap探测某个目标地址是否运行Zookeeper服务,探测2181端口开放。 root@kali:
Kafka漏洞修复之CVE-2023-25194修复措施验证
CharlesYan的博客
02-19 6282
Apache Kafka Connect 模块通过JNDI 注入任意代码漏洞修复措施验证,包括Linux安装多版本JDK动态切换、验证OpenJDK与Kafka3.4.0的兼容性以及Linux中文件配置的优先级等
zookeeper未授权漏洞及处理
kofterry的专栏
09-18 4278
不知道你有没有注意,zk服务端启动后,默认会启动这几个具有world和cdrwa权限的znode,“/” "/zookeeper" "/zookeeper/config"和"/zookeeper/quota"(根据zookeeper的版本不同可能存在不同,并且这几个节点虽然具有world和cdrwa权限,但是是无法删除的,不知道为什么,好在我们可以给它设置ACL列表。重要的是构建环境把我在配置文件配置的user信息给删掉了(我不知道)才开始跑的,更坑的是它运行完后直接清除日志了,哪里错了都看不到。
存在 ZooKeeper 未授权访问原理扫描】--通过防火墙策略进行修复
qyq88888的专栏
06-06 1200
ELK集群存在 ZooKeeper 未授权访问原理扫描
未授权访问ZooKeeper 未授权访问漏洞
qq_68163788的博客
05-15 5100
zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。 Zookeeper的默认开放端口是2181。 Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
精选资源
zookeeper未授权访问修复建议
07-14
ZooKeeper 未授权访问修复建议 ZooKeeper 作为一个分布式应用程序协调服务,提供了高效、可靠的分布式锁、队列、节点管理等功能。但是,如果 ZooKeeper 没有正确地配置访问权限,就可能会出未授权访问的问题,...
ZooKeeper 未授权访问漏洞处理方法
08-31
### ZooKeeper 未授权访问漏洞处理方法 #### 一、漏洞背景及原理 **ZooKeeper** 是一个分布式的协调服务框架,它提供了一种高效可靠的解决方案来管理和维护分布式环境中不同节点之间的同步与协调问题。然而,由于...
zk添加访问白名单
独孤飞磊
11-20 3092
ZK的节点有5种操作权限: CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda 1.登陆zookeeper 进入zookeeper安装目录下的bin目录下执行 ./zkCli.sh -server ip:port 例如: ./zkCli.sh -server 10.100.254.107:2181 2.查看当前权限 getAcl / 3.添加可访问IP setAcl / ip:10.100.254.113:cdrwa,ip:10.100
ZooKeeper通过ACL修复未授权访问漏洞
05-06
ZooKeeper通过ACL修复未授权访问漏洞,此文档适合学习
zookeeper 未授权访问扫描脚本
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-25 972
# coding=utf-8 import socket def check(ip, port, timeout): try: socket.setdefaulttimeout(timeout) s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.connect((ip, int(port))) flag = "envi" # envi # d
zookeeper未授权访问(CVE-2014-0085)漏洞修复建议
THZLYXX的博客
01-24 6105
xxxx为需要设置的四字命令,添加多命令请使用逗号进行隔开,请根据系统所需进行命令设置,请勿添加envi命令,如系统有使用此命令的需求请使用其他修复方法。1.进入zookeeper目录找到zoo.cfg文件,常见路径为/opt/zookeeper-3.4.13/conf/zoo.cfg。2.使用下面命令登录zookeeper命令中ip为容器ip如果直接安装在服务器上请使用服务器ip。2.使用vi编辑器打开zoo.cfg文件,在文件中添加四字命令白名单,添加命令如下。:访问(Access)
漏洞扫描,zookeeper未授权访问漏洞修复
ChaoandPeng的博客
06-29 9062
ZooKeeper默认开启在2181端口,在未进行任何访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,包括系统名称、Java环境。0x00 ZooKeeper 安装: Zookeeper的默认开放端口是2181wget https://mirrors.tuna.tsinghua.edu.cn/apache/zookeeper/zookeeper-3.4.10/zookeeper-3.4.10.tar.gztar -zxvf zookeepre-3.4.10.tar.gz cd zooke
Kafka集群之-ZooKeeper未授权访问漏洞修复
IT技术学习与工作笔记分享
07-01 3622
配置 ZooKeeper 的配置文件,修改 文件,添加以下内容: 二、创建 JAAS 文件 在 ZooKeeper 的安装目录下的 目录中创建 文件,并编辑内容如下: 的含义是 ,添加一个用户名为 ,密码为 的认证用户,用户名和密码可以自行定义。因为如果要连接 ZooKeeper 是需要通过 SASL 认证的,所以需要配置环境变量,这里的环境变量主要是使用 文件中的 配置,会在连接时使用用户名和密码。 四、重启 ZooKeeper 服务 重启 ZooKeeper 服务,正常启动一般便无问题。
ZooKeeper未授权访问漏洞确认与修复
sdujava2011
02-27 4435
Zookeeper未授权访问漏洞确认与修复
Zookeeper未授权访问漏洞
weixin_53736204的博客
08-04 1079
Zookeeper分布式协同管理工具,常用来管理系统配置信息,提供分布式协同服务。Zookeeper的默认开放端口是 2181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:ki命令)。攻击者能够执行所有只允许由管理员运行的命令。
ZooKeeper 授权访问
weixin_30505751的博客
07-08 1129
ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 ZooKeeper的目标就是封装好复杂易出错的关键服务,将简单易用的接口和性能高效、功能稳定的系统提供给用户。 在通常情况下,zookeeper允许...
zookeeper未授权验证
最新发布
07-17
### ZooKeeper 未授权访问漏洞检测与修复方法 #### 漏洞检测方法 1. **端口扫描** 使用扫描工具(如Nmap)检测目标主机是否开放了ZooKeeper的默认端口2181。如果该端口对外暴露且未进行任何访问控制,则可能存在未授权访问风险。 2. **连接测试** 通过命令行工具尝试连接ZooKeeper服务,例如使用`nc`或`telnet`命令: ```bash echo dump | nc 127.0.0.1 2181 ``` 如果能够成功执行命令并返回节点信息,则表明ZooKeeper服务未启用认证机制,存在未授权访问漏洞[^2]。 3. **脚本自动化检测** 可以编写简单的脚本批量检测多个ZooKeeper实例的安全性。例如,使用Python结合`kazoo`库实自动化检测,检查是否能够在无身份验证的情况下访问关键znode节点。 #### 漏洞修复方法 1. **启用身份验证机制** ZooKeeper支持多种认证方式,包括SASL和Kerberos。在`zoo.cfg`配置文件中添加以下参数以启用SASL认证: ```properties authProvider.1=org.apache.zookeeper.server.auth.SASLAuthenticationProvider requireClientAuthScheme=sasl jaasLoginRenew=3600000 ``` 同时,在JVM启动参数中指定JAAS配置文件路径,确保客户端必须提供有效的凭证才能连接到ZooKeeper服务[^1]。 2. **设置访问控制列表(ACLs)** 对每个重要的znode节点设置适当的ACL规则,限制只有特定用户或组可以进行读写操作。例如,在创建znode时指定ACL: ```java List<ACL> acl = new ArrayList<>(); Id id = new Id("sasl", "user:password"); acl.add(new ACL(ZooDefs.Perms.ALL, id)); zooKeeper.create("/secure_node", data, acl, CreateMode.PERSISTENT); ``` 这样可以防止未经授权的客户端对敏感数据进行修改或删除[^1]。 3. **配置防火墙规则** 通过配置防火墙或安全组策略,限制对ZooKeeper服务端口(默认为2181)的访问,仅允许内部络或受信任的IP地址范围内的客户端连接。例如,在Linux系统上使用iptables命令: ```bash iptables -A INPUT -p tcp --dport 2181 -s 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --dport 2181 -j DROP ``` 这样可以有效减少外部攻击的可能性[^1]。 4. **禁用不必要的功能** 如果应用不需要使用观察者(Observers)等高级特性,可以在`zoo.cfg`中移除相关配置,或者将某些节点设置为只读模式。这样可以降低潜在的攻击面,提高整体安全性。 5. **保持版本更新** 定期检查ZooKeeper官方发布的最新版本,并及时应用安全补丁。新版本通常包含针对已知漏洞修复程序,有助于提升系统的稳定性和安全性[^1]。 6. **开启日志审计功能** 在`log4j.properties`文件中启用详细的日志记录选,记录所有客户端请求的操作详情。同时,定期审查日志内容,发异常行为并采取相应措施。例如: ```properties log4j.rootLogger=INFO, stdout, R log4j.appender.stdout=org.apache.log4j.ConsoleAppender log4j.appender.stdout.layout=org.apache.log4j.PatternLayout log4j.appender.stdout.layout.ConversionPattern=%d{yyyy-MM-dd HH:mm:ss} %p %m%n ``` 日志审计可以帮助快速定位问题根源,增强系统的可追溯性。 7. **遵循最佳实践配置** 根据ZooKeeper官方文档推荐的最佳实践调整配置参数,例如合理设置会话超时时间、选举算法等。这些优化措施不仅提升了性能,还增强了系统的健壮性和安全性。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旻璿gg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值