12. April 2024 – Eine kritische Sicherheitslücke, die als CVE-2024-27309 identifiziert wurde, betrifft die beliebte Open-Source-Streaming-Plattform Apache Kafka. Die Entdeckung dieser Schwachstelle wurde gestern Abend von Colin McCabe von der Apache Software Foundation bekannt gegeben. Die Lücke weist auf potenzielle Fehlsteuerungen der Zugriffskontrollen während der Migration von ZooKeeper-Modus (ZK) zu KRaft-Modus in Apache Kafka hin. Folgende Versionen von Apache Kafka von dieser Schwachstelle betroffen:
- Apache Kafka 3.5.0
- Apache Kafka 3.5.1
- Apache Kafka 3.5.2
- Apache Kafka 3.6.0
- Apache Kafka 3.6.1
Während eines Migrationsprozesses von ZooKeeper-Modus zu KRaft-Modus in Apache Kafka können in bestimmten Fällen Zugriffskontrolllisten (Access Control Lists, ACLs) nicht korrekt durchgesetzt werden. Die Schwachstelle tritt unter zwei spezifischen Voraussetzungen auf:
- Ein Administrator entscheidet, eine ACL zu entfernen.
- Die Ressource, mit der die entfernte ACL verknüpft war, bleibt weiterhin mit zwei oder mehr anderen ACLs verbunden.
Trifft dies zu, behandelt Kafka die Ressource so, als wäre sie nur mit einer einzigen ACL verknüpft, anstatt mit zwei oder mehreren, was korrekt wäre.
Dieser fehlerhafte Zustand kann behoben werden, indem alle Broker im ZK-Modus entfernt oder eine neue ACL zur betroffenen Ressource hinzugefügt wird. Nach Abschluss der Migration kommt es zu keinem Verlust von Metadaten; alle ACLs bleiben erhalten.
Die vollständige Auswirkung der Schwachstelle hängt von den während der Migration konfigurierten ACLs ab. Wurden nur ALLOW ACLs konfiguriert, wäre die Auswirkung auf die Verfügbarkeit beschränkt. Wenn jedoch DENY ACLs konfiguriert waren, könnte dies Auswirkungen auf die Vertraulichkeit und Integrität haben, da die DENY ACLs aufgrund dieser Sicherheitslücke während des Migrationszeitraums möglicherweise ignoriert werden.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: