【已复现】Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)安全风险通告

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告和有效解决方案。

安全通告

Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有应用程序服务器收集指标到Kafka主题中，使数据可用于低延迟的流处理。

近日，奇安信CERT监测到Apache Kafka官方发布Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)通告，当攻击者可访问Kafka Connect Worker，且可以创建或修改连接器时，通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule，进而可导致JNDI注入，造成RCE需低版本JDK或目标Kafka Connect系统中存在利用链。鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

目前，奇安信CERT已成功复现Apache Kafka Connect JNDI注入漏洞(CVE-2023-25194)，截图如下：

威胁评估

处置建议

目前官方已有可更新版本，建议受影响用户升级至：Apache Kafka 3.4.0及以上版本。

暂时无法升级的用户可通过验证Kafka Connect连接器配置，仅允许受信任的JNDI配置来缓解此漏洞。

产品解决方案

奇安信网神网络数据传感器系统产品检测方案

奇安信网神网络数据传感器（NDS5000/7000/9000系列）产品，已具备该漏洞的检测能力。规则ID为：7710，建议用户尽快升级检测规则库至2302091000以上。

奇安信天眼检测方案

奇安信天眼新一代安全感知系统已经能够有效检测针对该漏洞的攻击，请将规则版本升级到3.0.0209.13727或以上版本。规则ID及规则名称：0x100214CA，Apache kafka JNDI注入漏洞(CVE-2023-25194)。奇安信天眼流量探针规则升级方法：系统配置->设备升级->规则升级，选择“网络升级”或“本地升级”。

奇安信网站应用安全云防护系统已更新防护特征库

奇安信网神网站应用安全云防护系统已全局更新所有云端防护节点的防护规则，支持对Apache Kafka JNDI注入漏洞(CVE-2023-25194)的防护。

参考资料

[1]https://kafka.apache.org/cve-list

时间线

2023年2月9日，奇安信 CERT发布安全风险通告。

转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~