Была выявлена возможная уязвимость безопасности в Apache Kafka Connect API.
Для этого требуется доступ к рабочему процессу Kafka Connect и возможность создавать/изменять коннекторы на нем с произвольной конфигурацией SASL JAAS клиента Kafka и протоколом безопасности на основе SASL,
что стало возможным в кластерах Kafka Connect начиная с Apache Kafka Connect 2.3.0.
При настройке коннектора через Kafka Connect REST API аутентифицированный оператор может установить свойство sasl.jaas.config для любого из клиентов Kafka коннектора на “com.sun.security.auth.module.JndiLoginModule”, что можно сделать через свойства producer.override.sasl.jaas.config, consumer.override.sasl.jaas.config или admin.override.sasl.jaas.config.
Это позволит серверу подключаться к серверу LDAP злоумышленника и десериализовать ответ LDAP, который злоумышленник может использовать для выполнения цепочек гаджетов десериализации Java на сервере Kafka Connect.
Злоумышленник может вызвать неограниченную десериализацию ненадежных данных (или) уязвимость RCE, если в classpath есть гаджеты.

Начиная с Apache Kafka 3.0.0, пользователям разрешено указывать эти свойства в конфигурациях коннектора для кластеров Kafka Connect, работающих с готовыми конфигурациями.
До Apache Kafka 3.0.0 пользователи не могут указывать эти свойства, если кластер Kafka Connect не был перенастроен с политикой переопределения клиента коннектора, которая разрешает им это.

Начиная с Apache Kafka 3.4.0, мы добавили системное свойство («-Dorg.apache.kafka.disallowed.login.modules») для отключения проблемного использования модулей входа в систему
в конфигурации SASL JAAS. Кроме того, по умолчанию “com.sun.security.auth.module.JndiLoginModule” отключен в Apache Kafka Connect 3.4.0.

Мы рекомендуем пользователям Kafka Connect проверять конфигурации коннекторов и разрешать только доверенные конфигурации JNDI. Кроме того, проверьте зависимости коннектора на наличие
уязвимых версий и либо обновите свои коннекторы, обновив эту конкретную зависимость, либо удалив коннекторы в качестве вариантов исправления. Наконец, в дополнение к использованию системного свойства
“org.apache.kafka.disallowed.login.modules” пользователи Kafka Connect также могут реализовать свою собственную политику переопределения конфигурации клиента коннектора, которая может использоваться для контроля того, какие свойства клиента Kafka могут быть переопределены непосредственно в конфигурации коннектора, а какие нет.