Apache Kafka kümelerini yönetmek için popüler bir web tabanlı arayüz olan Kafbat UI’de kritik bir güvenlik açığı keşfedilmiştir ve kimlik doğrulanmamış saldırganların güvenli olmayan sealanizasyon saldırıları yoluyla etkilenen sistemlerde keyfi kod yürütmesine izin verir.
Kritik güvenlik açığı detayları
CVE-2025-49127 olarak adlandırılan güvenlik açığı, Kafbat UI sürüm 1.0.0’ı etkiler ve uygun doğrulama olmadan kullanıcı tarafından sağlanan JMX uç noktalarını kabul eden uygulamanın dinamik küme yapılandırma işlevinden kaynaklanmaktadır.
Bu kusur, uygulama tehdit aktörleri tarafından kontrol edilen kötü amaçlı JMX sunucularına bağlanmaya çalıştığında saldırganların güvenli olmayan seansizasyondan yararlanmasını sağlar.
| CVE Detayları | Bilgi |
| CVE kimliği | CVE-2025-49127 |
| CVSS Puanı | Eleştirel |
| Etkilenen versiyon | Kafbat Soğan 1.0.0 |
| Sabit versiyon | 1.1.0 |
| Güvenlik Açığı Türü | Güvenli olmayan seans ve uzaktan kod yürütme |
| Saldırı vektörü | Ağ |
| Kimlik Doğrulama Gerekli | Hiçbiri |
Teknik analiz
Güvenlik açığı, Kafbat UI’nin metrik toplama sistemindeki JMX (Java Yönetimi Uzantıları) bağlantı taşıma mekanizmasını kullanır.
Yöneticiler Dinamik Yapılandırma API’sı aracılığıyla yeni Kafka kümelerini yapılandırdıklarında, uygulama otomatik olarak performans metriklerini toplamak için JMX bağlantıları kurmaya çalışır.
Bununla birlikte, sistem bu uç noktaları düzgün bir şekilde doğrulayamaz ve saldırganların hazırlanmış serileştirilmiş nesneleri döndüren kötü amaçlı JMX sunucuları belirtmesine izin verir.
Saldırı, seansizasyon işlemi sırasında tetiklenen bir dizi yöntem çağrısı aracılığıyla keyfi komutlar yürütebilen Java Deserializasyon Gadget zincirlerinden, özellikle Commissolections7 istismarından yararlanır.
Bu, uygulamanın varsayılan olarak her 30 saniyede bir çalışan planlanan metrik toplama işlemi ile otomatik olarak gerçekleşir.
Güvenlik araştırmacıları, güvenlik açığının kimlik doğrulaması olmadan uzaktan sömürülebileceğini göstererek, internete bakan Kafbat UI örneklerine sahip kuruluşlar için özellikle tehlikeli hale getirdi.
Saldırı işlemi, saldırgan kontrolündeki sunuculara otomatik JMX bağlantılarını tetikleyen /API /Config uç noktası aracılığıyla kötü niyetli küme yapılandırmalarının gönderilmesini içerir.
Gözden uygulanan, Kafbat UI uygulamasının ayrıcalıklarıyla ters kabuk erişimi ve keyfi kod yürütme dahil olmak üzere tam sistem uzlaşmasını sağlar.
Bu potansiyel olarak saldırganların hassas Kafka küme verilerine erişmesine, konfigürasyonları değiştirmesine veya tehlikeye atılan sistemi ağ içindeki yan hareket için bir pivot noktası olarak kullanmasına izin verebilir.
Kafbat kullanıcı arayüzü kullanan kuruluşlar derhal bu güvenlik açığını ele alan 1.1.0 veya daha sonraki sürümlere yükseltilmelidir.
Geçici bir önlem olarak, yöneticiler dynamic_config_enable ayarlayarak dinamik yapılandırma özelliğini devre dışı bırakabilir: uygulama yapılandırmalarında ‘Yanlış’.
Ek güvenlik önlemleri, JMX bağlantı noktalarına erişimi sınırlamak için ağ segmentasyonunun uygulanması, kimlik doğrulama mekanizmalarının etkinleştirilmesi ve potansiyel sömürü girişimlerini tespit etmek için kapsamlı izleme oluşturulması yer alır.
Kurumsal ortamlarda benzer riskleri belirlemek için düzenli güvenlik değerlendirmeleri ve güvenlik açığı taraması da yapılmalıdır.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.