Apache Kafka UI遠程代碼執行漏洞 (CVE-2024-32030) 安全通告
責編:gltian |2024-06-25 16:04:18| 漏洞概述 | |||
| 漏洞名稱 | Apache Kafka UI 遠程代碼執行漏洞 | ||
| 漏洞編號 | QVD-2024-23801,CVE-2024-32030 | ||
| 公開時間 | 2024-06-19 | 影響量級 | 萬級 |
| 奇安信評級 | 高危 | CVSS 3.1分數 | 8.1 |
| 威脅類型 | 代碼執行 | 利用可能性 | 高 |
| POC狀態 | 已公開 | 在野利用狀態 | 未發現 |
| EXP狀態 | 已公開 | 技術細節狀態 | 已公開 |
| 危害描述:經過身份驗證的攻擊者可以通過創建 RMI 偵聽器調用返回惡意序列化對象,在Kafka UI上執行遠程代碼;如果Kafka UI沒有啟用身份驗證,這個漏洞可能會被用來完全控制受影響的系統。 | |||
| 利用條件:以下兩個條件需要滿足其一:1、設置中設置了 dynamic.config.enabled 屬性。默認情況下未啟用,但在許多 Kafka UI 教程中建議啟用它,包括其自己的 README.md。2、攻擊者可以訪問連接到 Kafka UI 的 Kafka 集群。在這種情況下,攻擊者可以利用此漏洞擴展其訪問權限并在 Kafka UI 上執行代碼。 | |||
01?漏洞詳情
影響組件
Kafka UI 是用于 Apache Kafka Management 的開源 Web UI。Kafka UI API 允許用戶通過指定網絡地址和端口連接到不同的 Kafka 代理。作為一項單獨的功能,它還提供了通過連接到其 JMX 端口來監控 Kafka 代理性能的功能。
漏洞描述
近日,奇安信CERT監測到官方修復Apache Kafka UI 遠程代碼執行漏洞(CVE-2024-32030),Kafka UI API 提供了一種功能,允許用戶連接到不同的 Kafka 代理并監控它們的表現。這個功能存在一個安全漏洞,攻擊者可以利用 JMX 的 RMI 協議進行反序列化攻擊。如果攻擊者能夠設置一個惡意的 JMX 監聽器,當 Kafka UI 嘗試連接并獲取監控數據時,攻擊者可以發送一個惡意的序列化對象,導致 Kafka UI 執行遠程代碼。目前該漏洞技術細節與EXP已在互聯網上公開,鑒于該漏洞影響范圍較大,建議客戶盡快做好自查及防護。
02?影響范圍
影響版本
Kafka UI <= 0.7.1
其他受影響組件
無
03?受影響資產情況
奇安信鷹圖資產測繪平臺數據顯示,Apache Kafka UI 遠程代碼執行漏洞(CVE-2024-32030)關聯的國內風險資產總數為3339個,關聯IP總數為1241個。國內風險資產分布情況如下:
Apache Kafka UI 遠程代碼執行漏洞(CVE-2024-32030)關聯的全球風險資產總數為15426個,關聯IP總數為3906個。全球風險資產分布情況如下:
04?處置建議
安全更新
目前官方已有可更新版本,建議受影響用戶升級至最新版本:
Kafka UI >= 0.7.2
官方補丁下載地址:
https://github.com/provectus/kafka-ui/releases/tag/v0.7.2
緩解方案:
1.Kafka UI 啟用身份驗證,確保只有授權用戶可以訪問;
2.暫時禁用 Kafka Ul 的 JMX 連接功能,直到更新至不受影響的版本。
05?參考資料
[1]https://securitylab.github.com/advisories/GHSL-2023-229_GHSL-2023-230_kafka-ui/
[2]https://github.com/provectus/kafka-ui/commit/83b5a60cc08501b570a0c4d0b4cdfceb1b88d6b7#diff-37e769f4709c1e78c076a5949bbcead74e969725bfd89c7c4ba6d6f229a411e6R36
[3]https://github.com/provectus/kafka-ui/pull/4427
聲明:本文來自奇安信 CERT