CVE-2024-27309: Major Apache Kafka Flaw Could Expose Sensitive Data in Popular Enterprises
2024/04/11 SecurityOnline — 人気の OSS イベント・ストリーミング・プラットフォームである Apache Kafka の、一般的なバージョンにおいて深刻な脆弱性 CVE-2024-27309 が発見された。この脆弱性は、Kafka クラスタを ZooKeeper モードから KRaft モードに移行する過程において、機密データへの不正アクセスを許す可能性があり、多数の大規模企業に影響を与えると推測されている。
脆弱性 CVE-2024-27309 の詳細
通常において Apache Kafka は、アクセス制御リスト(ACL:Access Control Lists) を参照してパーミッションを管理し、リソースを保護している。しかし、この脆弱性は、移行プロセス中に ACL が常に正しく実施されないというシナリオを誘発する。特定の条件下において、ACL が削除されることで、実際よりも少ない ACL 制限を持つリソースとして、Kafka が誤って処理するという可能性が生じる。
脆弱性が存在するバージョン
この深刻な脆弱性は、以下の Apache Kafka バージョンに存在する:
- 3.5.0/3.5.1/3.5.2/3.6.0/3.6.1
重要なのは、Fortune 100 社の 80%以上を含む、世界中の何千もの企業が、データ集約的なアプリケーションに Apache Kafka を利用していることだ。
想定される影響
この脆弱性の影響は、組織が設定した特定の ACL に大きく依存する。以下は潜在的な影響である:
- 可用性の問題:“ALLOW” ACL のみが使用されている場合において、最も懸念されるのは、無許可のユーザーによる障害だ。
- 機密データの漏洩:“DENY” ACL が使用されている場合は、無許可の攻撃者が、制限されているはずの機密データに、アクセスする可能性が生じるという、より深刻な影響が考えられる。
- データの完全性が危険にさらされる:Kafka システム内で機密データが使用されている方式に応じて、攻撃者がデータを操作し、その完全性を損なう可能性が生まれてくる。
脆弱性の修正方法
影響を受ける Kafka のバージョンを使用している場合には、直ちにシステムにパッチを当てることが推奨される。幸いなことに、修正は比較的簡単であり、移行時に特定の条件を満たすようにすることで、脆弱性を緩和することもできる。
攻撃から身を守るために
この脆弱性が浮き彫りにするのは、Apache Kafka のような広く信頼されているソフトウェアであっても、タイムリーにパッチを当てることの重要性である。潜在的な悪用からデータを守るためには、警戒を怠らず、迅速な行動を取らなければならない。
この Apache Kafka ですが、Qiita には「Kafka は、スケーラビリティに優れた分散メッセージキューである。メッセージキューとは、システム間のデータの受け渡しを仲介し、データを一時的に保持(キューイング)するミドルウェアである」と記されています。なお、ActiveMQ との違いについては、Quix の記事 (英文) を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.