Apache Kafka Connect 出现高危漏洞,请立即修复!
2023-2-9 22:1:21 Author: 微步在线研究响应中心(查看原文) 阅读量:28 收藏

01 漏洞概况 

近日,微步在线获取到 Apache Kafka Connect 3.4.0 版本之前,可通过创建或修改客户端配置,进行 JNDI 注入攻击 0day 相关漏洞情报,攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,在对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入。Apache Kafka 是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。

自查检测:

此次受影响版本如下

Apache Kafka

是否受影响

2.3.0 - 3.3.2

>= 3.4.0

02 漏洞评估 

公开程度:未公开
利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、RCE
影响范围:2.3.0 <= Apache Kafka <= 3.3.2

03 修复方案 

1、官方修复缓解措施

目前 Apache 官方已发布此漏洞修复版本,建议用户尽快升级至 Apache Kafka3.4 及以上版本
参考链接: https://github.com/apache/kafka/releases/tag/3.4.0

2、流量侧检测排查

微步在线威胁感知平台 TDP 已支持检测该漏洞:


3、受影响资产排查

微步在线 OneEDR 用户可以通过在资产清点-依赖库中搜索 kafka-clients-【版本号】.jar 寻找主机上存在漏洞的 jar 包:

微步在线攻击面管理平台 OneRisk 已包含相关 POC :

4、微步在线 OneCare 安全服务已支持该漏洞的风险排查和处置

https://www.threatbook.cn/next/onecare

5、X-资产测绘已包含相关测绘数据

04 时间线 

2023.01 厂商修复

2023.02 获取漏洞相关情报

2023.02 漏洞分析研究

2023.02 TDP支持检测

2023.02 OneRisk支持检出漏洞

2023.02 微步情报局发布公告

点击下方名片,关注我们
第一时间为您推送最新威胁情报


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247499683&idx=1&sn=7f281b467804028a8a85c846a2e4bbbb&chksm=cfca9cb7f8bd15a1205163761596a275d20f2ed276057cc92d08bff445f153e6e5e11ce23add#rd
如有侵权请联系:admin#unsafe.sh