在 Spring 中保护 Apache Kafka 免受反序列化攻击

2月19,2025 由 OPSWAT

分享此贴

Nguyen Phu Hung 和 Tran Anh Huy 的专业形象，代表他们与 HUTECH 和胡志明市科学大学的关系。

反序列化攻击--未经授权操纵序列化数据以执行恶意代码--会给企业带来严重损害。开发人员和安全团队必须主动识别关键漏洞，以揭示攻击发生的方式、时间和地点。

这种威胁的最近一个例子是 CVE-2023-34040，这是 Spring for Apache Kafka 中的一个反序列化攻击向量，可导致 RCE（远程代码执行）。事实上，OWASP Top 10 列表强调了反序列化漏洞的普遍性，该列表将 "不信任数据的反序列化 "列为十大最关键网络应用程序安全风险之一。

OPSWAT MetaDefender Core™等工具及其 SBOM软件物料清单）引擎对于检测和预防反序列化攻击至关重要。这些工具使开发人员能够高效地扫描和分析他们的代码，确保不会忽略任何漏洞。

在本博客中，我们的研究生研究员将讨论 CVE-2023-34040 的细节及其利用方法，以及如何保护开源组件免受类似威胁。

关于 CVE-2023-34040

CVE-2023-34040 揭示了 Spring for Apache Kafka 中的一个反序列化攻击向量，当应用异常配置时可利用该向量。该漏洞允许攻击者在其中一个反序列化异常记录头中构建恶意序列化对象，从而导致 RCE。该漏洞影响 Spring for Apache Kafka 2.8.1 至 2.9.10 版和 3.0.0 至 3.0.9 版。

显示漏洞 CVSS 3.x 严重性评分的截图，其中包括 NIST 和 VMware 提供的高风险和中等风险级别。

具体来说，在以下特定配置和条件下，应用程序/消费者容易受到攻击：

未针对记录的键和/或值配置 ErrorHandlingDeserializer 类。
消费者的 checkDeserExWhenKeyNull 和/或 checkDeserExWhenValueNull 属性被设置为 true。
允许不受信任的来源发布到 Kafka 主题。

Apache Kafka

Apache Kafka 由 Apache软件基金会开发，是一个分布式事件流平台，旨在捕获、处理、响应和路由来自数据库、传感器和mobile 设备等各种来源的实时数据流。

例如，它可以向对客户活动（如完成产品结账或付款）做出反应的服务发送流式通知。

基于 Apache Kafka 的数据处理管道图，将产品微服务与短信、推送通知和电子邮件微服务连接起来。

在 Apache Kafka 中，事件（也称作记录或消息）是一个数据单元，每当数据被读取或写入时，它就代表应用程序中发生的事件。每个事件包括键、值、时间戳和可选的元数据头。

二进制密钥
(可以为空）

二进制值
(可以为空）

压缩类型
[无、gzip、snappy、lz4、zstd］

页眉（可选）

钥匙	价值
钥匙	价值

分区 + 偏移

时间戳（系统或用户设置）

事件被持久存储并组织成主题。向 Kafka 主题发送（写入）事件的客户端应用程序称为生产者，而订阅（读取和处理）事件的客户端应用程序称为消费者。

Spring for Apache Kafka

要将 Apache Kafka 与 Spring 生态系统连接起来，开发人员可以使用 Spring for Apache Kafka，它可以简化 Java 应用程序中的集成。

Spring for Apache Kafka 提供了强大的工具和应用程序接口，简化了使用 Kafka 发送和接收事件的过程，使开发人员无需进行大量复杂的编码即可完成这些任务。

一个显示 Spring Boot 和 Apache Kafka 徽标的图形，标志着事件驱动型应用程序的集成。

序列化和反序列化

序列化是一种将对象状态转换为字符串或字节流的机制。与此相反，反序列化是一个相反的过程，在这个过程中，序列化数据被转换回其原始对象或数据结构。序列化允许对复杂数据进行转换，以便将其保存到文件中、通过网络发送或存储到数据库中。序列化和反序列化对分布式系统中的数据交换至关重要，可促进软件应用程序各组件之间的通信。在 Java 中，writeObject() 用于序列化，readObject() 用于反序列化。

由于反序列化允许将字节流或字符串转换为对象，如果处理不当或缺乏对输入数据的适当验证，就会造成严重的安全漏洞，可能导致 RCE 攻击。

脆弱性分析

根据 CVE 描述，OPSWAT 研究员将checkDeserExWhenKeyNull和checkDeserExWhenValueNull配置为 true，以触发安全漏洞。通过发送键/值为空的记录，并在消费者从生产者接收 Kafka 记录时调试消费者进行详细分析，我们的研究生发现了记录处理过程中的以下工作流程：

步骤 1：接收记录（信息）

接收到记录后，消费者会调用invokeIfHaveRecords()方法，然后调用invokeListener()方法来触发已注册的记录监听器（使用@KafkaListener注解注解的类），以便对记录进行实际处理。

定义 Kafka 消息监听器容器的 Java 代码截图，该容器用于处理事件驱动系统中的记录。

invokeListener()会调用invokeOnMessage()方法。

步骤 2：检查记录

在invokeOnMessage()方法中，会根据记录值和配置属性对几个条件进行评估，然后确定要执行的下一步。

高亮显示的 Java 代码片段，演示了 Kafka 消费者中消息反序列化的异常处理。

如果记录的键或值为空，且checkDeserExWhenKeyNull和/或checkDeserExWhenValueNull属性被明确设置为true，则会调用checkDeser()方法来检查记录。

步骤 3：从标头检查异常

在checkDesr() 中，消费者会不断调用getExceptionFromHeader()从记录的元数据（如果存在）中获取任何异常，并将结果存储在一个名为exception 的变量中。

Java 方法 checkDeser 调用 getExceptionFromHeader 来处理 Kafka 消息处理过程中的反序列化异常。

步骤 4：从标头中提取异常

getExceptionFromHeader()方法用于从 Kafka 记录的头中提取并返回异常。它首先检索记录的头，然后获取头的值，该值存储在一个字节数组中。

Java 方法 getExceptionFromHeader 从 Kafka 报文头中提取反序列化异常

随后，它会将标头值的字节数组转发给byteArrayToDeserializationException()方法，以便进一步处理。

步骤 5：数据反序列化

在byteArrayToDeserializationException() 中，resolveClass()函数被重载，以限制只对允许的类进行反序列化。这种方法可以防止对任何未明确允许的类进行反序列化。头的字节数组值只有在满足resolveClass() 中设置的条件时，才能在byteArrayToDeserializationException () 中进行反序列化，而 resolveClass() 只允许对DeserializationException类进行反序列化。

Java 方法 byteArrayToDeserializationException 将字节数组转换为反序列化异常

然而，DeserializationException类扩展了标准异常类，并包含一个有四个参数的构造函数。最后一个参数是cause，表示触发DeserializationException 的原始异常，如IOException或ClassNotFoundException。

DeserializationException 的 Java 构造函数，包含消息、数据、关键标志和可抛出原因的参数

Throwable类是 Java 中所有可作为异常或错误抛出的对象的超类。在 Java 编程语言中，Throwable、Exception 和Error等异常处理类可以安全地进行反序列化。在对异常进行反序列化时，Java 允许加载和实例化Throwable类的父类，其检查要求比普通类要低。

根据工作流程和综合分析，如果序列化数据对应的恶意类继承自父类Throwable，则可能绕过条件检查。这样就可以反序列化恶意对象，从而执行有害代码，并可能导致 RCE 攻击。