Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Apache Kafka (CVE-2024-56128)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
18/12/2024
Última modificación:
18/12/2024

Descripción

Implementación incorrecta del algoritmo de autenticación en la implementación SCRAM de Apache Kafka. Resumen del problema: La implementación de Apache Kafka del mecanismo de autenticación de respuesta a desafío con sal (SCRAM) no se adhirió completamente a los requisitos de RFC 5802 [1]. Específicamente, según RFC 5802, el servidor debe verificar que el nonce enviado por el cliente en el segundo mensaje coincida con el nonce enviado por el servidor en su primer mensaje. Sin embargo, la implementación SCRAM de Kafka no realizó esta validación. Impacto: Esta vulnerabilidad es explotable solo cuando un atacante tiene acceso de texto simple al intercambio de autenticación SCRAM. Sin embargo, el uso de SCRAM sobre texto simple se desaconseja enfáticamente ya que se considera una práctica insegura [2]. Apache Kafka recomienda implementar SCRAM exclusivamente con cifrado TLS para proteger los intercambios SCRAM de la intercepción [3]. Las implementaciones que utilizan SCRAM con TLS no se ven afectadas por este problema. Cómo detectar si está afectado: si su implementación utiliza autenticación SCRAM sobre canales de comunicación de texto plano (sin cifrado TLS), es probable que esté afectado. Para verificar si TLS está habilitado, revise su archivo de configuración server.properties para la propiedad listeners. Si tiene SASL_PLAINTEXT en los listeners, es probable que esté afectado. Detalles de la solución: el problema se ha solucionado introduciendo la verificación de nonce en el mensaje final del intercambio de autenticación SCRAM para garantizar el cumplimiento de RFC 5802. Versiones afectadas: Apache Kafka versiones 0.10.2.0 a 3.9.0, excluidas las versiones corregidas a continuación. Versiones corregidas: 3.9.0 3.8.1 3.7.2 Se recomienda a los usuarios que actualicen a 3.7.2 o posterior para mitigar este problema. Recomendaciones para la mitigación: los usuarios que no puedan actualizar a las versiones corregidas pueden mitigar el problema mediante lo siguiente: - Uso de TLS con autenticación SCRAM: siempre implemente SCRAM sobre TLS para cifrar los intercambios de autenticación y protegerse contra la interceptación. - Consideración de mecanismos de autenticación alternativos: evaluar mecanismos de autenticación alternativos, como PLAIN, Kerberos u OAuth con TLS, que proporcionan capas adicionales de seguridad.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información