【漏洞通告】Apache Kafka访问控制不当漏洞（CVE-2024-27309）

Apache Kafka 是一个开源分布式事件流平台，通常用于高性能数据管道、流分析、数据集成和和关键任务应用。ZooKeeper通常用于管理Kafka集群的元数据，而KRaft模式则通过Raft协议直接在Kafka集群内部处理这些元数据。

2024年4月12日，启明星辰VSRC监测到Apache Kafka中存在一个访问控制不当漏洞（CVE-2024-27309），官方评级为“严重”。

Apache Kafka受影响版本中，当Apache Kafka集群从 ZooKeeper 模式迁移到 KRaft模式时，如果管理员删除ACL（访问控制列表），并且与删除的ACL相关联的资源在删除后仍有两个或更多其他ACL关联时，Kafka会将该资源视为在删除后仅具有一个与其关联的 ACL，导致ACL可能无法正确执行，该漏洞可能导致访问控制失效或未授权访问、拒绝服务攻击、合法用户无法正常访问等。

二、影响范围

Apache Kafka 3.5.0、3.5.1、3.5.2、3.6.0、3.6.1

注：漏洞具体影响取决于配置的 ACL。如果在迁移期间仅配置了 ALLOW ACL，则影响将仅限于可用性影响。如果配置了 DENY ACL，则影响可能包括机密性和完整性影响，因为在迁移过程中DENY ACL可能会被忽略。

三、安全措施

3.1 升级版本

目前该漏洞已经修复，受影响用户可更新到不受影响的Apache Kafka版本或当前最新版本3.7.0。

下载链接：

https://kafka.apache.org/downloads

3.2 临时措施

通过删除ZK模式下的所有代理，或向受影响的资源添加新的ACL，可以清除不正确的情况。迁移完成后，元数据不会丢失（ACL全部保留）。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://www.openwall.com/lists/oss-security/2024/04/12/3

https://kafka.apache.org/

原文始发于微信公众号（启明星辰安全简讯）：【漏洞通告】Apache Kafka访问控制不当漏洞（CVE-2024-27309）