在 Spring 中防禦 Apache Kafka 的反序列化攻擊

2月19、2025 by OPSWAT 發布

分享此文章

Nguyen Phu Hung 和 Tran Anh Huy 的專業形象，代表他們與 HUTECH 和 HCMC 科學大學的從屬關係。

反序列化攻擊 - 未經授權篡改序列化資料以執行惡意程式碼 - 可能會對組織造成嚴重損害。開發人員和安全團隊必須主動找出關鍵漏洞，揭露攻擊發生的方式、時間和地點。

CVE-2023-34040 就是這種威脅的最新例子，它是 Spring for Apache Kafka 中的反序列化攻擊向量，可導致 RCE (遠端程式碼執行)。事實上，OWASP Top 10 名單強調了反序列化漏洞的普遍性，其中將「不受信任資料的反序列化」列為十大最重要的 Web 應用程式安全風險之一。

OPSWAT MetaDefender Core™等工具及其 SBOM軟體物料清單）引擎對於偵測和預防反序列化攻擊至關重要。這些工具可讓開發人員有效率地掃描及分析其程式碼，確保不會忽略任何弱點。

在這篇文章中，我們的研究員將討論 CVE-2023-34040 的細節及其利用方式，以及如何保護開放原始碼元件的安全，以對抗類似的威脅。

關於 CVE-2023-34040

CVE-2023-34040 揭露了 Spring for Apache Kafka 中的反序列化攻擊向量，當應用不尋常的配置時，可利用此漏洞。此漏洞可讓攻擊者在其中一個反序列化異常記錄標頭中建構惡意序列化物件，導致 RCE。此漏洞影響 Spring for Apache Kafka 2.8.1 至 2.9.10 及 3.0.0 至 3.0.9 版本。

顯示漏洞 CVSS 3.x 嚴重性評分的截圖，以及 NIST 和 VMware 的高風險和中風險等級。

具體而言，應用程式/用戶在下列特定組態和條件下容易受到攻擊：

ErrorHandlingDeserializer 類別未針對記錄的 key 和/或值進行設定。
消費者的 checkDeserExWhenKeyNull 和/或 checkDeserExWhenValueNull 屬性設定為 true。
不信任的來源允許發佈到 Kafka 主題。

Apache Kafka

Apache Kafka 由 ApacheSoftware 基金會開發，是一個分散式事件串流平台，設計用來擷取、處理、回應和路由來自資料庫、感測器和mobile 裝置等各種來源的即時資料流。

例如，它可以將通知串流至對客戶活動（如完成產品結帳或付款）作出反應的服務。

示意圖說明基於 Apache Kafka 的資料處理管道，將產品微服務連結至 SMS、推送通知和電子郵件微服務。

在 Apache Kafka 中，事件（也稱為記錄或訊息）是一個資料單元，代表應用程式中每次讀取或寫入資料時發生的事件。每個事件包含一個 key、value、timestamp，以及可選的 metadata 標頭。

鍵-二進位
(可以為空）

二進位數值
(可以為空）

壓縮類型
[none, gzip, snappy, lz4, zstd] (無、gzip、snappy、lz4、zstd)

標題（可選）

鑰匙	價值
鑰匙	價值

分割 + 偏移

時間戳記 (系統或使用者設定)

事件被持久地儲存並組織成主題。發送（寫入）事件到 Kafka 主題的用戶端應用程式稱為生產者，而訂閱（讀取和處理）事件的用戶端應用程式稱為消費者。

Spring for Apache Kafka

若要連接 Apache Kafka 與 Spring 生態系統，開發人員可使用 Spring for Apache Kafka，簡化 Java 應用程式中的整合。

Spring for Apache Kafka 提供了強大的工具和 API，簡化了使用 Kafka 傳送和接收事件的流程，使開發人員無需大量複雜的編碼即可完成這些任務。

顯示 Spring Boot 和 Apache Kafka 標誌的圖形，標誌著事件驅動應用程式的整合。

序列化與反序列化

序列化（Serialization）是將物件的狀態轉換成字串或位元組流的機制。相反，反序列化則是相反的過程，序列化的資料會被轉換回原始的物件或資料結構。序列化允許轉換複雜的資料，使其可以儲存到檔案、透過網路傳送或儲存到資料庫中。序列化和反序列化對於分散式系統中的資料交換是不可或缺的，並可促進軟體應用程式各元件間的溝通。在 Java 中，writeObject() 用於序列化，而 readObject() 用於反序列化。

由於反序列化允許將位元組流或字串轉換為物件，不當處理或缺乏適當的輸入資料驗證會造成重大的安全漏洞，可能導致 RCE 攻擊。

漏洞分析

根據 CVE 描述，OPSWAT 研究員將checkDeserExWhenKeyNull與checkDeserExWhenValueNull設定為 true，以觸發安全漏洞。透過傳送一個 key/value 為空的記錄，並在消費者從生產者接收 Kafka 記錄時進行除錯來進行詳細分析，我們的研究生研究員發現了記錄處理過程中的以下工作流程：

步驟 1：接收記錄（訊息）

接收到記錄後，消費者會呼叫invokeIfHaveRecords()方法，然後再呼叫invokeListener()方法，以觸發已註冊的記錄監聽器（使用@KafkaListener註解註釋的類別）來實際處理記錄。

定義 Kafka 訊息監聽容器的 Java 程式碼截圖，用於在事件驅動系統中處理記錄。

invokeListener()接著會呼叫invokeOnMessage()方法。

步驟 2：檢查記錄

在invokeOnMessage()方法中，會針對記錄值和組態屬性評估幾個條件，然後決定要執行的下一步。

高亮顯示的 Java 程式碼片段，示範 Kafka 消費者中訊息反序列化的異常處理。

如果記錄的 key 或值為空，且checkDeserExWhenKeyNull和/或checkDeserExWhenValueNull 屬性明確設定為true，則會呼叫checkDeser()方法檢查該記錄。

步驟 3：從標頭檢查異常

在checkDesr() 中，消費者會不斷地呼叫getExceptionFromHeader()來擷取記錄元資料中的任何異常（如果有的話），並將結果儲存在稱為exception 的變數中。

Java 方法 checkDeser 會呼叫 getExceptionFromHeader 來處理 Kafka 訊息處理中的反序列化異常。

步驟 4：從標頭擷取例外資訊

getExceptionFromHeader()方法是用來從 Kafka 記錄的標頭中抽取並傳回異常。它首先擷取記錄的標頭，然後獲得標頭的值，該值儲存在一個位元組陣列中。

Java 方法 getExceptionFromHeader 可從 Kafka 訊息標頭中抽取反序列化異常

之後，它會將標頭值的位元組陣列轉寄給byteArrayToDeserializationException()方法作進一步處理。

步驟 5：反序列化資料

在byteArrayToDeserializationException() 中，resolveClass( ) 函數會被覆寫，以限制只對允許的類別進行反序列化。此方法可防止任何未明確允許的類的反序列化。標頭的位元組數組值只有在符合resolveClass() 中設定的條件時，才能在byteArrayToDeserializationException () 中進行反序列化，而 resolveClass() 只允許DeserializationException類別進行反序列化。

Java 方法 byteArrayToDeserializationException 將 byte 陣列轉換為反序列化異常

然而，DeserializationException類擴展了標準Exception類，並包含一個有四個參數的構建器。最後一個參數cause 代表觸發DeserializationException 的原始異常，例如IOException或ClassNotFoundException。

DeserializationException 的 Java 構建程式，包含訊息、資料、關鍵標誌和可拋棄原因的參數。

Throwable類是 Java 中所有可被當作異常或錯誤丟出的物件的超類。在 Java 程式語言中，Throwable、Exception 和Error等異常處理類可以安全地進行反序列化。當異常被反序列化時，Java 允許Throwable父類別被載入和實體化，其檢查要求比一般類別低。

根據工作流程和綜合分析，如果序列化的資料對應到繼承自父類別Throwable 的惡意類別，就有可能繞過條件檢查。這樣就可以反序列化惡意物件，執行有害程式碼，並可能導致 RCE 攻擊。

開發

如分析所示，利用此漏洞需要產生惡意資料，透過 Kafka 標頭記錄傳送給消費者。一開始，攻擊者必須建立一個擴充Throwable類的惡意類，然後利用小工具鏈來達到遠端執行程式碼的目的。小工具是應用程式中可供攻擊的程式碼片段，藉由將它們串連在一起，攻擊者可以達到觸發有害動作的「sink 小工具」。

以下是一個惡意的類別，可以利用 Spring for Apache Kafka 的這個漏洞：