Vulnerabilidad en Kafka UI (CVE-2024-32030)

Kafka UI es una interfaz de usuario web de código abierto para la administración de Apache Kafka. La API de Kafka UI permite a los usuarios conectarse a diferentes corredores de Kafka especificando su dirección de red y puerto. Como característica independiente, también brinda la capacidad de monitorear el desempeño de los corredores de Kafka conectándose a sus puertos JMX. JMX se basa en el protocolo RMI, por lo que es inherentemente susceptible a ataques de deserialización. Un atacante potencial puede aprovechar esta característica conectando el backend de la interfaz de usuario de Kafka a su propio agente malicioso. Esta vulnerabilidad afecta las implementaciones donde ocurre una de las siguientes situaciones: 1. La propiedad dynamic.config.enabled está configurada en la configuración. No está habilitado de forma predeterminada, pero se sugiere habilitarlo en muchos tutoriales para Kafka UI, incluido su propio README.md. O 2. un atacante tiene acceso al clúster de Kafka que se está conectando a la interfaz de usuario de Kafka. En este escenario, el atacante puede aprovechar esta vulnerabilidad para ampliar su acceso y ejecutar código también en la interfaz de usuario de Kafka. En lugar de configurar un puerto JMX legítimo, un atacante puede crear un detector RMI que devuelva un objeto serializado malicioso para cualquier llamada RMI. En el peor de los casos, podría conducir a la ejecución remota de código, ya que Kafka UI tiene las cadenas de dispositivos necesarias en su classpath. Este problema puede provocar la ejecución remota de código posterior a la autenticación. Esto es particularmente peligroso ya que Kafka-UI no tiene la autenticación habilitada de forma predeterminada. Este problema se solucionó en la versión 0.7.2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad. Estos problemas fueron descubiertos e informados por el laboratorio de seguridad de GitHub y también se rastrean como GHSL-2023-230.