Kafka UI is an Open-Source Web UI for Apache Kafka Management. Kafka UI API allows users to connect to different Kafka brokers by specifying their network address and port. As a separate feature, it also provides the ability to monitor the performance of Kafka brokers by connecting to their JMX ports. JMX is based on the RMI protocol, so it is inherently susceptible to deserialization attacks. A potential attacker can exploit this feature by connecting Kafka UI backend to its own malicious broker. This vulnerability affects the deployments where one of the following occurs: 1. dynamic.config.enabled property is set in settings. It's not enabled by default, but it's suggested to be enabled in many tutorials for Kafka UI, including its own README.md. OR 2. an attacker has access to the Kafka cluster that is being connected to Kafka UI. In this scenario the attacker can exploit this vulnerability to expand their access and execute code on Kafka UI as well. Instead of setting up a legitimate JMX port, an attacker can create an RMI listener that returns a malicious serialized object for any RMI call. In the worst case it could lead to remote code execution as Kafka UI has the required gadget chains in its classpath. This issue may lead to post-auth remote code execution. This is particularly dangerous as Kafka-UI does not have authentication enabled by default. This issue has been addressed in version 0.7.2. All users are advised to upgrade. There are no known workarounds for this vulnerability. These issues were discovered and reported by the GitHub Security lab and is also tracked as GHSL-2023-230.
Kafka UI es una interfaz de usuario web de código abierto para la administración de Apache Kafka. La API de Kafka UI permite a los usuarios conectarse a diferentes corredores de Kafka especificando su dirección de red y puerto. Como característica independiente, también brinda la capacidad de monitorear el desempeño de los corredores de Kafka conectándose a sus puertos JMX. JMX se basa en el protocolo RMI, por lo que es inherentemente susceptible a ataques de deserialización. Un atacante potencial puede aprovechar esta característica conectando el backend de la interfaz de usuario de Kafka a su propio agente malicioso. Esta vulnerabilidad afecta las implementaciones donde ocurre una de las siguientes situaciones: 1. La propiedad dynamic.config.enabled está configurada en la configuración. No está habilitado de forma predeterminada, pero se sugiere habilitarlo en muchos tutoriales para Kafka UI, incluido su propio README.md. O 2. un atacante tiene acceso al clúster de Kafka que se está conectando a la interfaz de usuario de Kafka. En este escenario, el atacante puede aprovechar esta vulnerabilidad para ampliar su acceso y ejecutar código también en la interfaz de usuario de Kafka. En lugar de configurar un puerto JMX legítimo, un atacante puede crear un detector RMI que devuelva un objeto serializado malicioso para cualquier llamada RMI. En el peor de los casos, podría conducir a la ejecución remota de código, ya que Kafka UI tiene las cadenas de dispositivos necesarias en su classpath. Este problema puede provocar la ejecución remota de código posterior a la autenticación. Esto es particularmente peligroso ya que Kafka-UI no tiene la autenticación habilitada de forma predeterminada. Este problema se solucionó en la versión 0.7.2. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad. Estos problemas fueron descubiertos e informados por el laboratorio de seguridad de GitHub y también se rastrean como GHSL-2023-230.