近日,微步在线获取到 Apache Kafka Connect 3.4.0 版本之前,可通过创建或修改客户端配置,进行 JNDI 注入攻击 0day 相关漏洞情报,攻击者可以使用基于 SASL JAAS 配置和 SASL 协议的任意 Kafka 客户端,在对 Kafka Connect worker 创建或修改连接器时,通过构造特殊的配置,进行 JNDI 注入。Apache Kafka 是美国阿帕奇(Apache)基金会的一套开源的分布式流媒体平台。该平台能够获取实时数据,用于构建对数据流的变化进行实时反应的应用程序。自查检测:
Apache Kafka | 是否受影响 |
2.3.0 - 3.3.2 | 是 |
>= 3.4.0 | 否 |
公开程度:未公开利用条件:无权限要求
交互要求:0-click
漏洞危害:高危、RCE
影响范围:2.3.0 <= Apache Kafka <= 3.3.2
1、官方修复缓解措施
目前 Apache 官方已发布此漏洞修复版本,建议用户尽快升级至 Apache Kafka3.4 及以上版本。
参考链接: https://github.com/apache/kafka/releases/tag/3.4.0
2、流量侧检测排查
微步在线威胁感知平台 TDP 已支持检测该漏洞:
3、受影响资产排查
微步在线 OneEDR 用户可以通过在资产清点-依赖库中搜索 kafka-clients-【版本号】.jar 寻找主机上存在漏洞的 jar 包:
微步在线攻击面管理平台 OneRisk 已包含相关 POC :
4、微步在线 OneCare 安全服务已支持该漏洞的风险排查和处置
https://www.threatbook.cn/next/onecare
5、X-资产测绘已包含相关测绘数据
2023.01 厂商修复
2023.02 获取漏洞相关情报
2023.02 漏洞分析研究
2023.02 TDP支持检测
2023.02 OneRisk支持检出漏洞
2023.02 微步情报局发布公告
文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5MTc3ODY4Mw==&mid=2247499683&idx=1&sn=7f281b467804028a8a85c846a2e4bbbb&chksm=cfca9cb7f8bd15a1205163761596a275d20f2ed276057cc92d08bff445f153e6e5e11ce23add#rd
如有侵权请联系:admin#unsafe.sh