Jonathan Greig er journalist baseret i New York City.
Fuld biografi den 16. februar 2022 | Emne: Sikkerhed
Brugere af Apache Cassandra bliver opfordret til at opgradere deres versioner, efter at JFrogs sikkerhedsforskningsteam afslørede en sårbarhed ved fjernudførelse af kode, som de sagde er “let at udnytte og har potentiale til at skabe kaos på systemer.”
Shachar Menashe, seniordirektør for sikkerhedsforskning hos JFrog, fortalte ZDNet, at selvom disse nye sårbarheder ikke påvirker Apache Cassandra-standardinstallationer, hvor brugerdefinerede funktioner (UDF'er) er deaktiveret, aktiverer mange Cassandra-konfigurationer dem, hvilket får instansen til at være sårbar over for en RCE eller DoS angreb.
“Vi anbefaler at se på din Cassandra-konfiguration og – hvis UDF'er er aktiveret – tage de passende skridt til at afhjælpe,” sagde Menashe.
I et blogindlæg forklarede JFrog's Security Research-team, at CVE-2021-44521 fik en CVSS på 8.4, men sagde, at det kun påvirker ikke-standardkonfigurationer af Cassandra.
De bemærkede, at Netflix, Twitter, Urban Airship, Constant Contact, Reddit, Cisco, OpenX, Digg, CloudKick og flere bruger Cassandra, fordi det er en “meget skalerbar, distribueret NoSQL-database, der er ekstremt populær på grund af fordelene ved dens distribuerede natur.”
“Cassandra tilbyder funktionaliteten til at oprette brugerdefinerede funktioner (UDF'er) til at udføre tilpasset behandling af data i databasen. Cassandra UDF'er kan skrives som standard i Java og JavaScript. I JavaScript bruger den Nashorn motoren i Java Runtime Environment ( JRE), som er en JavaScript-motor, der kører oven på Java Virtual Machine (JVM),« sagde JFrogs sikkerhedsforskere.
“Nashorn er ikke garanteret at være sikker, når den accepterer kode, der ikke er tillid til. Derfor skal enhver tjeneste, der tillader sådan adfærd, altid pakke Nashorn-eksekveringen ind i en sandkasse. Da vi undersøgte Cassandra UDF-sandkasseimplementeringen, indså vi, at en blanding af specifikke (ikke -default) konfigurationsmuligheder kan give os mulighed for at misbruge Nashorn-motoren, undslippe sandkassen og opnå fjernudførelse af kode. Dette er den sårbarhed, som vi rapporterede som CVE-2021-44521.”
Implementeringer bliver sårbare over for problem, når cassandra.yaml-konfigurationsfilen indeholder visse definitioner beskrevet i bloggen, og JFrog sagde, at den også fandt andre problemer med dem, der kører Cassandra på nogle ikke-standardkonfigurationer.
De opfordrede Apache Cassandra 3.0.x-brugere til at opgradere til 3.0.26 og tilføjede, at 3.11.x-brugere bør opgradere til 3.11.12, og 4.0.x-brugere bør opgradere til 4.0.2. Alle de opdaterede versioner løser CVE-2021-44521.
Der er også adskillige begrænsninger for dem, der ikke kan opgradere deres Cassandra-instanser. Brugere kan deaktivere UDF'er, hvis de ikke bruges aktivt, ved at indstille enable_user_defined_functions til false, og hvis UDF'er er nødvendige, kan brugere indstille enable_user_defined_functions_threads til sand.
Brugere kan også fjerne tilladelserne til at oprette, ændre og udføre funktioner for ikke-pålidelige brugere ved at fjerne følgende tilladelser: ALLE FUNKTIONER, ALLE FUNKTIONER I KEYSPACE og FUNKTION for CREATE, ALTER og EXECUTE forespørgsler.
Netenrich trusseljæger John Bambenek sagde, at selvom dette ikke er så alvorligt som Log4j, har det udseendet af noget, der er mobilt og potentielt udbredt.
“Selvom det kræver ikke-standard brugerkonfigurationsindstillinger, formoder jeg, at indstillingerne er almindelige i mange applikationer rundt om i verden. Desværre er der ingen måde at vide præcis, hvor mange installationer der er sårbare, og det er sandsynligvis den slags sårbarhed, der vil blive savnet af automatiserede sårbarhedsscannere,” sagde Bambenek.
“Virksomheder bliver nødt til at gå ind i konfigurationsfilerne for hver Cassandra-instans for at bestemme, hvad deres risiko er.”
Mike Parkin, en ingeniør hos Vulcan Cyber, bemærkede, at enhver organisation, der bruger Cassandra burde nemt kunne tjekke deres konfiguration, især hvis de har konfigurations- eller risikostyringssoftware, og rette den, hvis den er sårbar.
Sikkerhed
Flere virksomheder bruger multi- faktorgodkendelse. Hackere forsøger at slå det Microsoft: Denne Mac-malware bliver smartere og farligere Sådan finder og fjerner du spyware fra din telefon Den bedste antivirussoftware og -apps: Hold din pc, telefon, tablet sikker Hvordan teknologi er et våben i moderne misbrug i hjemmet Udvikler | Sikkerheds-tv | Datastyring | CXO | Datacentre