Informazioni sul CVE-2024-32030
Remote code execution via JNDI resolution in JMX metrics collection in Kafka UI
CWE ID: CWE-94
Base Score (CVSS): N/A
CVE: CVE-2024-32030
Descrizione: Kafka UI è un’interfaccia web open-source per la gestione di Apache Kafka. L’API Kafka consente agli utenti di connettersi a diversi broker Kafka specificando la loro indirizzo IP e porta di rete. Come funzionalità aggiuntiva, fornisce anche la capacità di monitorare le prestazioni dei broker Kafka connettendosi ai loro porti JMX. JMX è basato sul protocollo RMI, il che lo rende intrinsecamente suscettibile ad attacchi di deserializzazione. Un potenziale attaccante può sfruttare questa funzionalità attaccando il backend di Kafka UI al proprio broker Kafka malfunzionante. Questo problema influisce sulle implementazioni in cui uno dei seguenti casi si verifica: 1. La proprietà `dynamic.config.enabled` è impostata nelle impostazioni. Non è abilitata per impostazione predefinita, ma si suggerisce di abilitarla in molti tutorial per Kafka UI, incluso il suo README.md. OR 2. Un attaccante ha accesso al cluster Kafka che viene connettuto a Kafka UI. In questo scenario, l’attaccante può sfruttare questa vulnerabilità per espandere la propria accessibilità e eseguire codice su Kafka UI. Invece di configurare un port JMX legittimo, un attaccante può creare un listener RMI che restituisce un oggetto serializzato malevolo per qualsiasi chiamata RMI. Nel peggiore dei casi, ciò potrebbe portare all’esecuzione remota del codice. Questo problema è particolarmente pericoloso perché Kafka-UI non ha l’autenticazione abilitata per impostazione predefinita. Questo problema è stato risolto nella versione 0.7.2. Si raccomanda a tutti gli utenti di aggiornare. Non ci sono soluzioni note per questa vulnerabilità. Queste problematiche sono state scoperte e segnalate dal laboratorio di sicurezza GitHub e è anche tracciata come GHSL-2023-230.
Vettore di attacco CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: Accesso: Network, Privilegi: None, Interazione utente: None, Confidenzialità: High, Integrità: High, Disponibilità: High.
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|---|---|---|
| Attack Vector (AV) | N | Network | L’attacco può essere eseguito da remoto attraverso la rete. |
| Attack Complexity (AC) | H | High | L’attacco richiede condizioni particolari o avanzate. |
| Privileges Required (PR) | N | None | Non sono richiesti privilegi. |
| User Interaction (UI) | N | None | Non è richiesta interazione dell’utente. |
| Scope (S) | U | Unchanged | Il raggio d’azione non cambia. |
| Confidentiality Impact (C) | H | High | Grave impatto sulla riservatezza. |
| Integrity Impact (I) | H | High | Grave impatto sull’integrità. |
| Availability Impact (A) | H | High | Rende il sistema inutilizzabile. |
Riferimenti esterni
- https://securitylab.github.com/advisories/GHSL-2023-229_GHSL-2023-230_kafka-ui/
- https://github.com/provectus/kafka-ui/pull/4427
- https://github.com/provectus/kafka-ui/commit/83b5a60cc08501b570a0c4d0b4cdfceb1b88d6b7#diff-37e769f4709c1e78c076a5949bbcead74e969725bfd89c7c4ba6d6f229a411e6R36
Prodotti interessati
- provectus – kafka-ui
Relazioni con altri prodotti
Produttore:provectus
Prodotto: kafka-ui
Anno: 2024
CWE: CWE-94
CVSS: 0.0