CVE-2024-56128

Published: Dic 18, 2024 Last Modified: Giu 20, 2025 EU-VD ID: EUVD-2024-3603 Aliases: GHSA-p7c9-8xx8-h74f

ExploitDB:

Other exploit source:

Google Dorks:

MEDIUM 5,3

Source: 134c704f-9b21-4f2e-91b3-4a467353bcc0

Attack Vector: network

Attack Complexity: low

Privileges Required: none

User Interaction: none

Scope: unchanged

Confidentiality: low

Integrity: none

Availability: none

Description

AI Translation Available

Incorrect Implementation of Authentication Algorithm in Apache Kafka's SCRAM implementation.

Issue Summary:
Apache Kafka's implementation of the Salted Challenge Response Authentication Mechanism (SCRAM) did not fully adhere to the requirements of RFC 5802 [1].
Specifically, as per RFC 5802, the server must verify that the nonce sent by the client in the second message matches the nonce sent by the server in its first message.
However, Kafka's SCRAM implementation did not perform this validation.

Impact:
This vulnerability is exploitable only when an attacker has plaintext access to the SCRAM authentication exchange. However, the usage of SCRAM over plaintext is strongly
discouraged as it is considered an insecure practice [2]. Apache Kafka recommends deploying SCRAM exclusively with TLS encryption to protect SCRAM exchanges from interception [3].
Deployments using SCRAM with TLS are not affected by this issue.

How to Detect If You Are Impacted:
If your deployment uses SCRAM authentication over plaintext communication channels (without TLS encryption), you are likely impacted.
To check if TLS is enabled, review your server.properties configuration file for listeners property. If you have SASL_PLAINTEXT in the listeners, then you are likely impacted.

Fix Details:
The issue has been addressed by introducing nonce verification in the final message of the SCRAM authentication exchange to ensure compliance with RFC 5802.

Affected Versions:
Apache Kafka versions 0.10.2.0 through 3.9.0, excluding the fixed versions below.

Fixed Versions:
3.9.0
3.8.1
3.7.2

Users are advised to upgrade to 3.7.2 or later to mitigate this issue.

Recommendations for Mitigation:
Users unable to upgrade to the fixed versions can mitigate the issue by:
- Using TLS with SCRAM Authentication:
Always deploy SCRAM over TLS to encrypt authentication exchanges and protect against interception.
- Considering Alternative Authentication Mechanisms:
Evaluate alternative authentication mechanisms, such as PLAIN, Kerberos or OAuth with TLS, which provide additional layers of security.

AI Generated Translation

Implementazione incorretta dell'algoritmo di autenticazione nell'implementazione SCRAM di Apache Kafka.

Sintesi del problema:
L'implementazione di Apache Kafka del Salted Challenge Response Authentication Mechanism (SCRAM) non ha pienamente rispettato i requisiti di RFC 5802 [1].
In particolare, come previsto da RFC 5802, il server deve verificare che il nonce inviato dal client nel secondo messaggio corrisponda al nonce inviato dal server nel suo primo messaggio.
Tuttavia, l'implementazione SCRAM di Kafka non ha eseguito questa validazione.

Impatto:
Questa vulnerabilità è sfruttabile solo quando un attaccante ha accesso in chiaro allo scambio di autenticazione SCRAM. Tuttavia, l'uso di SCRAM su canali in chiaro è fortemente
sconsigliato poiché considerato una pratica insicura [2]. Apache Kafka raccomanda di implementare SCRAM esclusivamente con crittografia TLS per proteggere gli scambi SCRAM dall'intercettazione [3].
Le configurazioni che utilizzano SCRAM con TLS non sono interessate da questa problematica.

Come verificare se si è interessati:
Se la tua configurazione utilizza l'autenticazione SCRAM su canali di comunicazione in chiaro (senza crittografia TLS), è probabile che tu sia interessato.
Per verificare se TLS è abilitato, controlla il file di configurazione server.properties per la proprietà listeners. Se è presente SASL_PLAINTEXT tra i listener, allora sei probabilmente interessato.

Dettagli sulla correzione:
Il problema è stato risolto introducendo la verifica del nonce nel messaggio finale dello scambio di autenticazione SCRAM per garantire la conformità a RFC 5802.

Versioni interessate:
Apache Kafka versioni dalla 0.10.2.0 alla 3.9.0, escluse le versioni fixate di seguito.

Versioni fixate:
3.9.0
3.8.1
3.7.2

Si consiglia agli utenti di aggiornare alla versione 3.7.2 o successiva per mitigare questo problema.

Raccomandazioni per la mitigazione:
Gli utenti che non possono aggiornare alle versioni fixate possono mitigare il problema mediante:
- Utilizzo di TLS con autenticazione SCRAM:
Implementare sempre SCRAM su TLS per criptare gli scambi di autenticazione e proteggersi dall'intercettazione.
- Considerare meccanismi di autenticazione alternativi:
Valutare meccanismi di autenticazione alternativi, come PLAIN, Kerberos o OAuth con TLS, che offrono livelli aggiuntivi di sicurezza.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0012

Percentile

0,3th

Updated

EPSS Score Trend (Last 91 Days)

303

Incorrect Implementation of Authentication Algorithm

Draft

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Access Control

Potential Impacts:

Bypass Protection Mechanism

Applicable Platforms

All platforms may be affected

View CWE Details

Application

Kafka by Apache

Product Information

Vendor Apache

Product Kafka

Version Range Affected

From 0.10.2.0 (inclusive)

To 3.7.2 (exclusive)

CPE Identifier

View Detailed Analysis


                  cpe:2.3:a:apache:kafka:*:*:*:*:*:*:*:*

Common Platform Enumeration - Standardized vulnerability identification

Application

Kafka by Apache

Product Information

Vendor Apache

Product Kafka

Version 3.8.0

CPE Identifier

View Detailed Analysis


                  cpe:2.3:a:apache:kafka:3.8.0:*:*:*:*:*:*:*

Common Platform Enumeration - Standardized vulnerability identification

http://www.openwall.com/lists/oss-security/2024/12/18/3

Mailing List Third Party Advisory

http://www.openwall.com/lists/oss-security/2024/12/18/3

https://datatracker.ietf.org/doc/html/rfc5802

Technical Description

https://datatracker.ietf.org/doc/html/rfc5802

https://datatracker.ietf.org/doc/html/rfc5802#section-9

Technical Description

https://datatracker.ietf.org/doc/html/rfc5802#section-9

https://kafka.apache.org/documentation/#security_sasl_scram…

Product

https://kafka.apache.org/documentation/#security_sasl_scram_security

https://lists.apache.org/thread/84dh4so32lwn7wr6c5s9mwh381v…

Mailing List Vendor Advisory

https://lists.apache.org/thread/84dh4so32lwn7wr6c5s9mwh381vx9wkw

CVE-2024-56128

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

EPSS Score Trend (Last 91 Days)

Incorrect Implementation of Authentication Algorithm

Common Consequences

Applicable Platforms

Kafka by Apache

Product Information

Kafka by Apache

Product Information

Iscriviti alla newsletter