Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有应用程序服务器收集指标到Kafka主题中,使数据可用于低延迟的流处理。
近日,奇安信CERT监测到Apache Kafka官方发布Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)通告,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。
|
漏洞名称 |
Apache Kafka Connect JNDI注入漏洞 |
||
|
公开时间 |
2023-02-08 |
更新时间 |
2023-02-09 |
|
CVE编号 |
CVE-2023-25194 |
其他编号 |
QVD-2023-3797 |
|
威胁类型 |
代码执行 |
技术类型 |
JNDI注入 |
|
厂商 |
Apache |
产品 |
Kafka |
|
风险等级 |
|||
|
奇安信CERT风险评级 |
风险等级 |
||
|
高危 |
蓝色(一般事件) |
||
|
现时威胁状态 |
|||
|
POC状态 |
EXP状态 |
在野利用状态 |
技术细节状态 |
|
未公开 |
未公开 |
未发现 |
已公开 |
|
漏洞描述 |
在Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。 |
||
|
影响版本 |
2.3.0 <= Apache Kafka <= 3.3.2 |
||
|
不受影响版本 |
Apache Kafka >= 3.4.0 |
||
|
其他受影响组件 |
无 |
||
目前,奇安信CERT已成功复现Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194),截图如下:
威胁评估
|
漏洞名称 |
Apache Kafka Connect JNDI注入漏洞 |
|||
|
CVE编号 |
CVE-2023-25194 |
其他编号 |
QVD-2023-3797 |
|
|
CVSS 3.1评级 |
高危 |
CVSS 3.1分数 |
8.3 |
|
|
CVSS向量 |
访问途径(AV) |
攻击复杂度(AC) |
||
|
相邻网络 |
低 |
|||
|
所需权限(PR) |
用户交互(UI) |
|||
|
无 |
不需要 |
|||
|
影响范围(S) |
机密性影响(C) |
|||
|
不改变 |
高 |
|||
|
完整性影响(I) |
可用性影响(A) |
|||
|
低 |
高 |
|||
|
危害描述 |
当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,设置恶意LDAP地址,目标Connect服务器获得响应解析后可导致JNDI注入。 |
|||
处置建议
目前官方已有可更新版本,建议受影响用户升级至:Apache Kafka 3.4.0及以上版本。
暂时无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。
参考资料
[1]https://kafka.apache.org/cve-list
声明:本文来自奇安信 CERT,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。
联系我们
在线留言
京公网安备11011202100645号