漏洞公告
近日,中国电信SRC监测到Apache Kafka官方发布安全公告,Apache Kafka UI中存在一个代码执行漏洞(CVE-2024-32030),CVSS:8.1。经过身份验证的攻击者可以通过创建 RMI 侦听器调用返回恶意序列化对象,在Kafka UI上执行远程代码;如果Kafka UI没有启用身份验证,这个漏洞可能会被用来完全控制受影响的系统。目前漏洞PoC已公开,请受影响用户尽快采取措施进行防护。当前官方已发布相关版本,建议用户及时更新对应版本修复漏洞。
参考链接:https://securitylab.github.com/advisories/GHSL-2023-229_GHSL-2023-230_kafka-ui/
Kafka UI <= 0.7.1
漏洞描述
Apache Kafka UI远程代码执行漏洞(CVE-2024-32030):Kafka UI API 提供了一种功能,允许用户连接到不同的 Kafka 代理并监控它们的表现。这个功能存在一个安全漏洞,攻击者可以利用 JMX 的 RMI 协议进行反序列化攻击。如果攻击者能够设置一个恶意的 JMX 监听器,当 Kafka UI 尝试连接并获取监控数据时,攻击者可以发送一个恶意的序列化对象,导致 Kafka UI 执行远程代码。
| 细节是否公开 |
POC状态/EXP状态 |
在野利用 |
| 是 | 已公开 |
未公开 |
Kafka UI >= 0.7.2
官方补丁下载地址:
https://github.com/provectus/kafka-ui/releases/tag/v0.7.2
缓解方案:
1.Kafka UI 启用身份验证,确保只有授权用户可以访问;
2.暂时禁用 Kafka Ul 的 JMX 连接功能,直到更新至不受影响的版本。
点亮“在看”,你最好看