EraDev
Ghoster-Xثغرة خطيرة في نظام Apache Kafka: ما تريد معرفته عن CVE-2023-25194
CVE-2023-25194 ثغرة أمنية تم اكتشافها حديثًا في تنفيذ arbitrary code عن بُعد (RCE) في Apache Kafka ، وهي منصة برمجيات مفتوحة المصدر شائعة تستخدمها العديد من المؤسسات لمعالجة البيانات في الوقت الفعلي. يمكن للمهاجم استغلال الثغرة الأمنية لتنفيذ arbitrary code. تعود الثغرة الأمنية إلى خلل في عملية إلغاء التسلسل في خادم Kafka ، والذي يسمح للمهاجم بإرسال طلب ضار يمكن تنفيذه بواسطة الخادم.
تؤثر الثغرة الأمنية على جميع إصدارات Apache Kafka من 2.3.0 إلى 3.3.2 من النظام الأساسي، وتعتبر حرجة نظرًا لتأثيرها المحتمل على الأنظمة المتأثرة وسلامتها وسريتها. قد يسمح استغلال الثغرة الأمنية للمهاجم بالسيطرة الكاملة على النظام المستهدف والوصول إلى البيانات الحساسة أو تثبيت برامج ضارة أو تنفيذ أنشطة ضارة أخرى.
كيف يتم استغلالها ؟
لاستغلال الثغرة الأمنية CVE-2023-25194 ، يجب أن يكون لدى المهاجم إمكانية الوصول إلى عامل Kafka Connect وأن يكون قادرًا على إنشاء وتعديل الـ Connectors التي تستخدم تكوين SASL JAAS وبروتوكول أمان SASL. كان هذا ممكنًا على مجموعات Kafka Connect منذ الإصدار 2.3.0 من Apache Kafka.
يمكن للمهاجم تكوين خاصية sasl.jaas.config لأي من عملاء Kafka إلى "com.sun.security.auth.module.JndiLoginModule". يمكن من خلال الخصائص التالية:
-
producer.override.sasl.jaas.config
-
consumer.override.sasl.jaas.config
-
admin.override.sasl.jaas.config
كيف يتم منع الثغره ؟
للتخفيف من الثغرة الأمنية ، يُنصح مستخدمو Apache Kafka بالترقية إلى أحدث إصدار 3.4.0، بدءًا من الإصدار 3.4.0 من Apache Kafka ، تمت إضافة خاصية نظام جديدة تسمى "Dorg.apache.kafka.disallowed.login.modules" لمنع استخدام وحدات تسجيل الدخول ذات المشكلات في تكوينات SASL JAAS.
و في النهايه كما هو الحال مع جميع نقاط الضعف الحرجة ، تُنصح المؤسسات باتخاذ إجراءات فورية للتخفيف من مخاطر الاستغلال ، بما في ذلك الترقية إلى أحدث إصدار من Apache Kafka أو تنفيذ الحل البديل المقدم. من المهم أيضًا مراقبة أي نشاط مشبوه على الشبكة وتطبيق ضوابط أمنية إضافية ، مثل جدران الحماية وأنظمة كشف التسلل ، للحماية من الهجمات المحتملة.
