【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

最新推荐文章于 2023-11-24 14:38:57 发布
最新推荐文章于 2023-11-24 14:38:57 发布
阅读量4k 收藏
点赞数 1
文章标签: kafka apache 安全 分布式 java
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247515512&idx=2&sn=e98e47bd34da117cc9f366253220df47&chksm=ea948c12dde30504b800504eae806ba06d26ac8b0598b1bc3e9808c2574a3161a52d5a6e6edf&scene=126&sessionid=0
版权

d7ded5249c3859923ca306edcba39150.png

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。

安全通告

Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有应用程序服务器收集指标到Kafka主题中,使数据可用于低延迟的流处理。

近日,奇安信CERT监测到Apache Kafka官方发布Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)通告,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。鉴于该漏洞影响范围较大,建议客户尽快做好自查及防护。

漏洞名称

Apache Kafka Connect   JNDI注入漏洞

公开时间

2023-02-08

更新时间

2023-02-09

CVE编号

CVE-2023-25194

其他编号

QVD-2023-3797

威胁类型

代码执行

技术类型

JNDI注入

厂商

Apache

产品

Kafka

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

未公开

未公开

未发现

已公开

漏洞描述

在Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。

影响版本

2.3.0 <= Apache Kafka <= 3.3.2

不受影响版本

Apache Kafka >= 3.4.0

其他受影响组件

目前,奇安信CERT已成功复现Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194),截图如下:

af6d4a29c4b81a2c416abedee856991e.png

8fe39b1227cd86d72affb5a1ac806482.png

威胁评估

漏洞名称

Apache Kafka Connect JNDI注入漏洞

CVE编号

CVE-2023-25194

其他编号

QVD-2023-3797

CVSS 3.1评级

高危

CVSS 3.1分数

8.3

CVSS向量

访问途径(AV

攻击复杂度(AC

相邻网络

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,设置恶意LDAP地址,目标Connect服务器获得响应解析后可导致JNDI注入。

处置建议

目前官方已有可更新版本,建议受影响用户升级至:Apache Kafka 3.4.0及以上版本。

暂时无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。

产品解决方案

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器(NDS5000/7000/9000系列)产品,已具备该漏洞的检测能力。规则ID为:7710,建议用户尽快升级检测规则库至2302091000以上

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击,请将规则版本升级到3.0.0209.13727或以上版本。规则ID及规则名称:0x100214CA,Apache kafka JNDI注入漏洞(CVE-2023-25194)。奇安信天眼流量探针规则升级方法:系统配置->设备升级->规则升级,选择“网络升级”或“本地升级”。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则,支持对Apache Kafka JNDI注入漏洞(CVE-2023-25194)的防护。

参考资料

[1]https://kafka.apache.org/cve-list

时间线

2023年2月9日,奇安信 CERT发布安全风险通告。

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

bd8c492f5e9128a8329da7afec779ce9.jpeg

b8a01923b24dc1256ef847ccd37f431b.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   565682d9adb1a093bf7d846d1ae81da3.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Apache Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
0xSec
03-18 6221
Apache Kafka Connect中存在JNDI注入漏洞,当攻击者可访问Kafka Connect Worker,且可以创建或修改连接器时,通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule,进而可导致JNDI注入,造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。
KafkaConnect:配置管理深度解析
最新发布
AI架构设计之禅
05-31 416
KafkaConnect:配置管理深度解析 1.背景介绍 1.1 Kafka简介 Apache Kafka是一个分布式流处理平台,它被广泛应用于大数据领域。Kafka具有高吞吐量、低延迟、高可伸缩性和持久性等优点,因此被视为构建实时
漏洞真实影响分析】Apache Kafka Connect 模块JNDI注入CVE-2023-25194
murphysec的博客
02-13 4621
Apache Kafka ConnectKafka中用于和其他数据系统传输数据的服务,其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动,默认会在8083端口开启HTTP REST API服务,可对连接器(Connector)的配置进行操作
Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析
蚁景网安学院
03-23 621
Apache Kafka是一个开源的分布式事件流平台,被数千家公司用于高性能数据管道、流分析、数据集成和任务关键型应用程序。
Apache Kafka Clients JNDI注入漏洞 (CVE-2023-25194) vulhub复现
qq_53003652的博客
07-14 965
在版本3.3.2及以前,Apache Kafka clients中存在一处JNDI注入漏洞Apache Kafka是一个开源分布式消息队列,Kafka clients是相对应的Java客户端。base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=,则可以发起JNDI连接,进而导致JNDI注入漏洞,执行任意命令。可以看到lm_hacker文件被成功创建(hacker是测试过的)启动kali:192.168.126.128。发送数据包,回到靶机,进入漏洞目录下。
【高危】 Apache Kafka 远程代码执行漏洞复现及攻击拦截 (CVE-2023-25194)
dzqxwzoe的博客
11-24 1129
Apache Kafka是一个分布式数据流处理平台,可以实时发布、订阅、存储和处理数据流。KafkaConnect是一种用于在kafka和其他系统之间可扩展、可靠的流式传输数据的工具。攻击者可以利用基于SASLJAAS 配置和SASL协议的任意Kafka客户端,对Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行JNDI 注入来实现远程代码执行。
CVE-2018-11788:Apache Karaf XXE漏洞CVE-2018-11788)
03-18
在最近对Apache Karaf的研究中,我发现其XML解析器中存在一些XXE(XML外部实体注入漏洞。 导致解析器不正确地解析XML文档。受影响的版本Apache Karaf <= 4.2.1 Apache Karaf <= 4.1.6分析根据,Apache ...
kafka-connect-elasticsearch-source:Kafka Connect Elasticsearch源
05-07
Kafka-connect-elasticsearch-source Kafka Connect Elasticsearch来源:从elastic-search获取数据并将其发送到kafka。 连接器仅使用严格的增量/时间字段(例如时间戳或增量ID)来获取新数据。 它支持动态模式和...
kafka-connect-mongodb:用于Kafka Connect的MongoDB接收器连接器
05-02
kafka-连接-mongodb 您可以通过使用kafka9-connect-mongodb分支将此连接器用于Kafka9。 用于Kafka Connect的MongoDB接收器连接器提供了从Kafka主题或主题集到MongoDB集合或多个集合的简单,连续的链接。 连接器...
Apache Kafka 3.0.0 (kafka-3.0.0-src.tgz)
02-17
这个版本的Kafka源代码(kafka-3.0.0-src.tgz)是开发人员深入了解和定制Kafka内部机制的重要资源。 Kafka的设计理念是构建一个可扩展且容错的系统,它允许数据以发布/订阅的方式在生产者和消费者之间流动。Kafka...
docker-kafka-connect:用于kafka-connect的Docker映像
05-09
docker-kafka-连接 Dockerized (分布式模式) 支持的标签 0.10.0.0 (2.11) 0.10.1.1 (2.11) 最新的0.10.2.0 (2.12) 快速开始 使用Docker Compose 像这样编写docker-compose.yml ,然后执行docker-...
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
追光者的博客
03-12 465
[CVE-2023-25194] 开源流处理平台Kafka JNDI注入漏洞
CVE-2023-25194漏洞 Apache Kafka Connect JNDI注入漏洞
Fiverya的博客
02-10 3744
CVE-2023-25194漏洞
Kafka Connect JNDI注入漏洞复现(CVE-2023-25194)
qq_40646572的博客
05-14 2083
2、无法升级的用户可通过验证Kafka Connect连接器配置,仅允许受信任的JNDI配置来缓解此漏洞。在该功能中,将payload填写到Consumer properties属性值中即可。在payload提交前,请先在vps机器中开启ldap服务。在Load data功能页中的Streaming功能中。我是通过vulhub下载的环境,下载后直接启动即可。打开页面,漏洞点在Load data功能页中。使用低版本的jdk中的ldap服务即可。
关于Apache Kafka 反序列化漏洞CVE-2023-25194
sandfeng的博客
03-22 602
Apache 发布安全公告,Apache Kafka 存在反序列化漏洞。此漏洞允许服务器连接到攻击者的 LDAP 服务器并反序列化 LDAP 响应,攻击者可以使用它在 Kafka 连接服务器上执行 java 反序列化小工具链。当类路径中有小工具时,攻击者 可以造成不可信数据的无限制反序列化(或)RCE 漏洞。厂商已发布安全补丁修复漏洞,请及时下 载更新。Kafka 是由 Apache 软件基金会开发的一个开源流处 理平台,由 Scala 和 Java 编写。漏洞编号:CVE-2023-25194
Apache Druid中Kafka配置远程代码执行漏洞(MPS-2023-6623)
murphysec的博客
04-28 1712
Apache Druid 是一个高性能的数据分析引擎。 Kafka Connect模块曾出现JNDI注入漏洞(CVE-2023-25194),近期安全研究人员发现Apache Druid由于支持从 Kafka 加载数据的实现满足其利用条件,攻击者可通过修改 Kafka 连接配置属性进行 JNDI 注入攻击,进而在服务端执行任意恶意代码。 Apache Druid通过部署在内网,用户可对其开启身份认证机制降低漏洞利用风险
Apache Kafka 拒绝服务漏洞
OSCS开源安全社区
09-21 1572
1)没有身份验证的Kafka集群:任何能够与Broker建立网络连接的客户端都可能引发该问题。2)具有SASL身份验证的Kafka集群:任何能够与Broker建立网络连接而无需有效SASL凭据的客户端都可以触发问题。3)具有TLS身份验证的Kafka集群:只有能够通过TLS成功身份验证的客户端才能触发问题。OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。Apache Kafka是一个高度可扩展的分布式消息队列。
Kafka漏洞修复之CVE-2023-25194修复措施验证
CharlesYan的博客
02-19 4150
Apache Kafka Connect 模块通过JNDI 注入任意代码漏洞修复措施验证,包括Linux安装多版本JDK动态切换、验证OpenJDK与Kafka3.4.0的兼容性以及Linux中文件配置的优先级等
漏洞预警|Apache Kafka 拒绝服务漏洞
LJQClqjc的博客
09-22 838
棱镜七彩安全预警
CVE-2023-3519
07-27
很抱歉,我无法找到关于CVE-2023-3519的相关信息。请确认该CVE编号是否正确,并提供更多的背景信息,以便我能够更好地回答您的问题。 #### 引用[.reference_title] - *1* [struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】](https://blog.csdn.net/JEFFYU328/article/details/115907882)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Apache Kafka JNDI注入(CVE-2023-25194)漏洞复现浅析](https://blog.csdn.net/qq_38154820/article/details/129731587)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值