CRITICAL🇬🇧 English

CVE-2024-36543

Nieprawidłowa kontrola dostępu w STRIMZI Kafka Connect REST API

CVSS 9.8v3.1pub. 2024-06-17upd. 2026-07-05

Podatność w projekcie STRIMZI 0.41.0 i wcześniejszych wersjach umożliwia nieuwierzytelnionemu atakującemu dostęp do Kafka Connect REST API bez autoryzacji. Skutki obejmują kradzież poświadczeń SASL, przejęcie kopii danych z tematów Kafka oraz zakłócenie działania usługi Kafka Mirroring.

Pokaż oryginał (EN)

Incorrect access control in the Kafka Connect REST API in the STRIMZI Project 0.41.0 and earlier allows an attacker to deny the service for Kafka Mirroring, potentially mirror the topics' content to his Kafka cluster via a malicious connector (bypassing Kafka ACL if it exists), and potentially steal Kafka SASL credentials, by querying the MirrorMaker Kafka REST API.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kontroli dostępu (CWE-400) do REST API MirrorMaker w STRIMZI. Atakujący może bez uwierzytelnienia wysyłać zapytania do Kafka Connect REST API, co pozwala mu na tworzenie złośliwych connectorów. Poprzez taki connector możliwe jest ominięcie list kontroli dostępu Kafka (ACL) i przekierowanie lustrzanego kopiowania tematów do zewnętrznego klastra Kafka kontrolowanego przez napastnika. Dodatkowo, odpytując API, atakujący może uzyskać poświadczenia SASL używane przez usługę.

Skutki

Atakujący może doprowadzić do odmowy usługi (DoS) dla Kafka Mirroring, wykraść poufne dane z tematów Kafka poprzez ich lustrzane kopiowanie do własnego klastra, ominąć mechanizmy ACL Kafka oraz pozyskać poświadczenia uwierzytelniające SASL.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami. Zaleca się aktualizację do wersji wyższej niż 0.41.0 oraz ograniczenie dostępu sieciowego do Kafka Connect REST API na poziomie firewall lub sieci, tak aby API nie było dostępne dla nieautoryzowanych klientów.

Kogo dotyczy

STRIMZI Project w wersji 0.41.0 i wcześniejszych

Uwagi

Szczegóły dotyczące podatności oraz materiały badawcze zostały opublikowane przez badacza 'almounah' w repozytorium GitHub: https://github.com/almounah/vulnerability-research/tree/main/CVE-2024-36543

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje
CVE-2024-36543 — Nieprawidłowa kontrola dostępu w STRIMZI Kafka Connect REST API — CRITICAL 9.8 | CVEbaza.pl