Apache Dolphinscheduler’ın varsayılan izin sistemini etkileyen kritik bir güvenlik açığı tanımlanmış ve yamalanmış ve Apache Software Foundation’dan acil güncelleme önerileri sunulmuştur.
Popüler iş akışı planlama platformundaki aşırı izin veren varsayılan yapılandırmalardan kaynaklanan güvenlik açığı, yetkisiz kullanıcıların uygun kimlik doğrulama kontrolleri olmadan keyfi iş akışlarını yürütmesine ve hassas sistem kaynaklarına erişmesine izin verir.
Kusur, yeni oluşturulan kullanıcı hesaplarına yanlışlıkla varsayılan idari ayrıcalıkların verildiği platformun başlatma süreci ile ortaya çıktı.
Bu mimari gözetim, veri işleme boru hatlarını tehlikeye atmak ve kurumsal ortamlarda yetkisiz kod yürütmek isteyen kötü niyetli aktörler için önemli saldırı vektörleri yarattı.
Kritik iş akışı otomasyonu için Dolphinscheduler kullanan kuruluşlar, veri açığa çıkmasına ve sistem uzlaşmasına derhal maruz kalmakla karşı karşıyadır.
İlk raporlar, güvenlik açığının sınırlı durumlarda zaten kullanıldığını, saldırganların üretim ortamlarına kötü amaçlı iş akışlarını enjekte etmek için izin bypass’tan yararlandığını göstermektedir.
Apache analistleri, rutin güvenlik denetim prosedürleri sırasında güvenlik açığını belirleyerek varsayılan kullanıcı rolü atama mekanizmasının idari işlevleri düzgün bir şekilde kısıtlayamadığını keşfettiler.
Sömürü mekanizması ve kod analizi
Güvenlik açığı, varsayılan izinlerin aşağıdaki sorunlu kod modelinden atandığı kullanıcı kimlik doğrulama modülündeki bir kusurdan yararlanır:
public void createDefaultUser() {
User defaultUser = new User();
defaultUser.setUserType(UserType.ADMIN_USER);
defaultUser.setPermissions(Permission.ALL);
userMapper.insert(defaultUser);
}Bu başlatma rutini, kullanıcı kimlik bilgilerini doğrulamadan veya uygun erişim kontrollerini uygulamadan otomatik olarak yönetim ayrıcalıkları atar.
Saldırganlar, sistem başlatma aşamaları sırasında yeni hesaplar oluşturarak, iş akışı yönetimi işlevlerine ve altta yatan sistem kaynaklarına etkili bir şekilde erişim sağlayarak bunu kullanabilir.
Apache geliştirme ekibi, bu kritik güvenlik kusurunun temel nedenini ele alarak gelişmiş izin doğrulaması ve temerrütle yapılandırmalar ile 3.2.1 sürümünü yayınladı.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.