CVE-2026-41603 Apache Thrift证书验证不当漏洞

漏洞信息

漏洞编号

CVE-2026-41603

漏洞类型

证书验证不当

CVSS评分

7.4 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Apache Thrift

漏洞概述

Apache Thrift在0.23.0之前的版本中存在严重的证书验证不当漏洞。该漏洞源于程序未能正确验证服务器证书中的主机名与实际连接的主机是否一致。攻击者可以利用此缺陷，在无需认证和用户交互的情况下，通过网络发起中间人攻击。成功利用该漏洞可能导致高机密性和高完整性影响，攻击者可窃取或篡改传输中的敏感数据。建议用户立即升级到0.23.0版本以消除风险。

技术细节

该漏洞的核心在于Apache Thrift的SSL/TLS实现中缺乏严格的主机名验证机制。在正常的HTTPS/TLS握手过程中，客户端不仅需要验证证书由受信任的CA签发，还必须验证证书的Common Name (CN) 或 Subject Alternative Name (SAN) 是否与服务器的主机名匹配。然而，在受影响的Thrift版本中，这一关键校验步骤被忽略或实现不当。攻击者如果能够处于受害者与服务器之间的网络路径上（例如ARP欺骗、DNS劫持或控制网络网关），即可拦截通信流量。攻击者可以向客户端出示一个针对其他域名（如evil.com）的有效证书。由于Thrift客户端未检查主机名不匹配，它会错误地信任该证书并建立加密通道。这使得攻击者能够完全解密、查看以及修改客户端与服务器之间传输的敏感数据，从而破坏通信的机密性与完整性，绕过了TLS应有的安全防护。

攻击链分析

STEP 1

侦察

攻击者识别网络上使用Apache Thrift且版本低于0.23.0的目标服务。

STEP 2

网络 positioning

攻击者将自己置于受害者与Thrift服务器之间的通信路径上（如ARP欺骗、DNS投毒）。

STEP 3

拦截与伪造

攻击者拦截客户端的连接请求，并向其出示一个由可信CA签发但主机名不匹配（例如针对攻击者控制的域名）的证书。

STEP 4

建立连接

由于Thrift客户端存在漏洞，未验证证书主机名，错误地接受该证书并建立加密连接。

STEP 5

数据窃取与篡改

攻击者作为中间人，解密并查看客户端发送的敏感数据，或篡改数据转发给服务器，破坏机密性和完整性。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import socket
import ssl

# Conceptual PoC for CVE-2026-41603
# This script demonstrates the behavior of a vulnerable Thrift client
# that accepts a certificate with a hostname mismatch.

def connect_vulnerable(target_host, target_port):
    # Create a standard SSL context
    context = ssl.create_default_context()
    
    # VULNERABILITY: The hostname check is disabled or not performed correctly.
    # In the vulnerable Apache Thrift < 0.23.0, this check might be missing.
    context.check_hostname = False 
    # For demonstration, we might also skip verifying the CA chain if needed, 
    # but the CVE specifically mentions Host Mismatch.
    # context.verify_mode = ssl.CERT_NONE 

    print(f"[+] Attempting to connect to {target_host}:{target_port}...")
    
    try:
        with socket.create_connection((target_host, target_port)) as sock:
            with context.wrap_socket(sock, server_hostname=target_host) as ssock:
                print(f"[+] Connection established!")
                print(f"[+] Peer certificate: {ssock.getpeercert()}")
                print("[!] Vulnerability exploited: Connection accepted despite potential hostname mismatch.")
                return True
    except Exception as e:
        print(f"[-] Connection failed: {e}")
        return False

if __name__ == "__main__":
    # Example usage (requires a server to test against)
    # connect_vulnerable("example.com", 443)
    pass

影响范围

Apache Thrift < 0.23.0

防御指南

临时缓解措施

如果无法立即升级，建议在网络基础设施层面（如负载均衡器或API网关）强制执行严格的主机名验证，或者确保服务运行在受信任的内网环境中，防止中间人攻击。