大工网安告[2023]004

一、情况分析

Kafka Connect是一种用于在Kafka和其他系统之间可扩展、可靠的流式传输数据的工具。通过connectors（连接器）简单、快速的向移动或者导出大量数据。Kafka Connect可以接收整个数据库或收集来自所有的应用程序的消息到Kafka Topic，使这些数据可用于低延迟流处理。近日，Apache官方发布了安全公告，修复了一个存在于Apache Kafka Connect中的远程代码执行漏洞（CVE-2023-25194），且漏洞细节已公开，攻击者利用该漏洞可在服务器上执行任意代码。

漏洞详情

由于Apache Kafka Connect中存在JNDI注入漏洞，当Kafka Connect Worker允许远程访问且可以创建或修改连接器时，恶意攻击者可通过修改连接器的Kafka 客户端属性配置，从而进行 JNDI 注入攻击或反序列化利用，成功利用此漏洞可在目标服务器上执行任意代码，获取目标服务器的控制权限。

二、影响范围

2.3.0<= Apache Kafka <= 3.3.2

三、处置建议

目前官方已修复该漏洞，受影响用户可以升级更新到安全版本。官方下载链接：https://kafka.apache.org/downloads

参考链接： https://kafka.apache.org/cve-list