Kafka Connect’te keşfedilen olası RCE ve hizmet reddi sorunu
Apache, Kafka Connect kullanarak uzaktan kod yürütme (RCE) saldırıları başlatmak için potansiyel olarak yararlanılabilen bir güvenlik açığını çözdü.
8 Şubat’ta açıklanan kritik güvenlik açığı CVE-2023-25194 olarak izleniyor. Sistemler, veritabanları ve anahtar/değer depoları arasında veri entegrasyonu için merkezi bir merkez olarak çalışan Apache Kafka’nın ücretsiz, açık kaynaklı bir bileşeni olan Apache Kafka Connect’te keşfedildi.
Apache, her 10 bankadan yaklaşık yedisi dahil olmak üzere Fortune 100 kuruluşlarının %80’inden fazlasının Kafka platformunu kullandığını iddia ediyor.
En son web güvenlik açığı haberlerinin devamını okuyun
Apache’nin posta listesi notuna göre, güvenlik açığı, sorunu Aiven’in HackerOne hata ödül programı aracılığıyla bildiren hata ödül avcısı Jari Jääskelä tarafından keşfedildi.
Güvenlik açığı yalnızca bir mantıksal çalışma birimi bileşeni olan bir Kafka Connect çalışanına erişim olduğunda tetiklenebilir ve kullanıcının ayrıca rastgele bir Kafka istemcisi SASL JAAS yapılandırması ve SASL tabanlı bir güvenlik protokolü ile çalışan bağlayıcıları oluşturabilmesi veya değiştirebilmesi gerekir. .
Güvenlik açığı, Log4Shell’de olduğu gibi Basit Dizin Erişim Protokolü (LDAP) ve Java Adlandırma ve Dizin Arabirimi (JNDI) uç noktalarını ve Apache Sling’de yeni açıklanan başka bir kritik Apache güvenlik açığını içerir.
Örneğin, kimliği doğrulanmış bir saldırgan, Aiven API veya Kafka Connect REST API aracılığıyla belirli bir bağlayıcı özelliğini yapılandırabilir ve çalışanı saldırgan tarafından kontrol edilen bir LDAP sunucusuna bağlanmaya zorlayabilir.
Danışma belgesinde, “Sunucu, saldırganın LDAP sunucusuna bağlanacak ve saldırganın Kafka Connect sunucusunda java serisini kaldırma gadget zincirlerini yürütmek için kullanabileceği LDAP yanıtını seri durumdan çıkarıyor” diyor. Saldırgan[s] sunucuda komutları çalıştırabilir ve ağdaki diğer kaynaklara erişebilir.”
Her bir ön koşul mevcut olduğunda, Apache, potansiyel olarak uzak kod veya hizmet reddi saldırılarının yürütülmesine yol açan JNDI isteklerini gerçekleştirmenin mümkün olacağını söylüyor.
ifşa
Rapor ilk olarak kuruluşun hata ödül programı aracılığıyla 4 Nisan 2022’de Aiven’e gönderildi. Önceliklendirme Mayıs ayında gerçekleştirildi ve Jääskelä, sorun düzeltilip kamuya ifşa edilmeden önceki çabaları için 5.000 $ ödül aldı.
Apache Kafka 2.3.0-3.3.2 sürümleri etkilendi ve güvenlik açığı 3.4.0 sürümünde düzeltildi.
Kuruluş, Kafka 3.0.0’dan bu yana kullanıcıların saldırı zincirinde kullanılan bağlayıcı yapılandırma özelliklerini belirleyebildiğini belirtiyor. Ek güvenlik önlemlerinin yanı sıra 3.4.0 sürümündeki SASL JAAS yapılandırmasında sorunlu oturum açma modülü kullanımını devre dışı bırakan yeni bir özellik eklenmiştir.
Apache şunları söyledi: “Kafka Connect kullanıcılarına bağlayıcı yapılandırmalarını doğrulamalarını ve yalnızca güvenilir JNDI yapılandırmalarına izin vermelerini tavsiye ediyoruz. Ayrıca, güvenlik açığı bulunan sürümler için bağlayıcı bağımlılıklarını inceleyin ve bağlayıcılarını yükseltin, söz konusu bağımlılığı yükseltin veya düzeltme seçenekleri olarak bağlayıcıları kaldırın.”
Jääskelä, aynı ay içinde Apache Kafka ile ilgili ikinci bir kritik güvenlik açığı raporu da sundu.
SQLite JDBC sürücüsü de dahil olmak üzere Aiven JDBC havuzu, Kafka Connect sunucularında RCE’yi yürütmek için korumasız bir Jolokia köprüsüyle kötüye kullanılabilir. Böcek ödül avcısına bu rapor için 5.000 $ ödül verildi ve o zamandan beri güvenlik sorunu çözüldü.
günlük yudum Apache projesine ulaştı ve geri bildirim aldığımızda bu hikayeyi güncelleyeceğiz.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR OAuth ‘ustalık sınıfı’, 2022’nin en iyi web korsanlığı tekniğini taçlandırdı