Três novas vulnerabilidades de segurança foram descobertas nos serviços Apache Hadoop, Kafka e Spark do Azure HDInsight, que poderiam ser exploradas para alcançar a escalada de privilégios e uma condição de negação de serviço por expressão regular (ReDoS).
"As novas vulnerabilidades afetam qualquer usuário autenticado dos serviços Azure HDInsight, como Apache Ambari e Apache Oozie", disse o pesquisador de segurança da Orca, Lidor Ben Shitrit, em um relatório técnico compartilhado com o The Hacker News.
A lista de falhas é a seguinte -
CVE-2023-36419
(pontuação CVSS: 8.8) - Vulnerabilidade de elevação de privilégio por injeção de entidade externa XML (XXE) no agendador de fluxo de trabalho Apache Oozie do Azure HDInsight
CVE-2023-38156
(pontuação CVSS: 7.2) - Vulnerabilidade de elevação de privilégio por injeção de Conectividade de Banco de Dados Java (JDBC) do Apache Ambari do Azure HDInsight
Vulnerabilidade de negação de serviço por expressão regular (ReDoS) do Apache Oozie do Azure HDInsight (sem CVE)
As duas falhas de escalada de privilégio poderiam ser exploradas por um invasor autenticado com acesso ao cluster HDI alvo para enviar uma solicitação de rede especialmente criada e ganhar privilégios de administrador do cluster.
A falha XXE é o resultado de uma falta de validação de entrada do usuário que permite a leitura de arquivo de nível raiz e a escalada de privilégios, enquanto a falha de injeção JDBC pode ser usada para obter um shell reverso como raiz.
"A vulnerabilidade ReDoS no Apache Oozie foi causada por uma falta de validação adequada de entrada e imposição de restrições, e permitiu a um invasor solicitar uma grande quantidade de IDs de ação e causar uma operação de loop intensivo, levando a uma negação de serviço (DoS)", Ben Shitrit explicou.
A exploração bem-sucedida da vulnerabilidade ReDoS pode resultar em uma interrupção das operações do sistema, causar degradação de desempenho e afetar negativamente tanto a disponibilidade quanto a confiabilidade do serviço.
Seguindo a divulgação responsável, a Microsoft implementou correções como parte das atualizações lançadas em 26 de outubro de 2023.
O desenvolvimento chega quase cinco meses depois que a Orca detalhou um conjunto de oito falhas no serviço de análise de código aberto que poderiam ser exploradas para acesso de dados, sequestro de sessão e entrega de payloads maliciosos.
Em dezembro de 2023, a Orca também destacou um "risco potencial de abuso" impactando os clusters do Google Cloud Dataproc que se aproveitam de uma falta de controles de segurança nas interfaces web do Apache Hadoop e nas configurações padrão ao criar recursos para acessar quaisquer dados no Sistema de Arquivos Distribuídos Apache Hadoop (HDFS) sem qualquer autenticação.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...