Gerçek zamanlı dağıtılmış bir OLAP veri deposu olan Apache Pinot’ta kritik bir güvenlik kusuru (CVE-2024-56325), kimlik doğrulanmamış saldırganların kimlik doğrulama kontrollerini atlamasına ve hassas sistemlere yetkisiz erişim kazanmasına izin veren açıklanmıştır.
CVSS ölçeğinde 9.8 olarak derecelendirilen bu güvenlik açığı, kuruluşları veri açığa vurma, ayrıcalık artış ve potansiyel altyapı uzlaşmasına maruz bırakır.
Sıfır Gün Girişimi (ZDI) konuyu Zdi-CAN-24001 olarak izledi ve aktif sömürü risklerini doğruladı.
Kimlik doğrulama bypass’ın teknik analizi
Güvenlik açığı, özel unsurların uygunsuz nötralizasyonundan kaynaklanmaktadır. AuthenticationFilter URI bileşenlerini yeterince doğrulayamayan sınıf.
Saldırganlar, kimlik doğrulama kontrollerini tamamen atlamak için özel olarak kodlanmış karakterler içeren kötü niyetli istekler oluşturabilirler.
Kimlik bilgisi tabanlı saldırıların aksine, bu kusur şifre, jeton veya oturum kaçırma gerektirmez-saldırılar, kısıtlı uç noktalara erişmek için HTTP istek yollarını manipüle eder.
1.3.0 öncesi Apache Pinot sürümleri etkilenir, zayıflık, yazılımın URI parametrelerini nasıl işlediğinden kaynaklanır.
Başarılı sömürü, saldırganlara doğrulanmış kullanıcılarla aynı ayrıcalıkları, dahili API’lara erişim, yapılandırma dosyaları (hayvanat bahçesi yolları dahil) ve Groovy Script yürütme arayüzlerini sağlar.
Bu, uzaktan kod yürütme (RCE) veya gerçek zamanlı analiz boru hatlarıyla kurcalama için bir yol oluşturur.
Veri odaklı kuruluşlar için riskler
Petabyte ölçekli veri kümelerinde düşük gecikmeli sorgular için tasarlanan Apache Pinot’un mimarisi, onu yüksek değerli bir hedef haline getiriyor.
Tazmin edilmiş örnekler aşağıdakilere yol açabilir:
- Hassas veri maruziyeti: Pinot tablolarında depolanan kişisel olarak tanımlanabilir bilgilerin (PII), finansal kayıtların veya operasyonel metriklerin çalınması.
- Tedarik zinciri saldırıları: Kusurlu iş kararlarını tetiklemek veya aşağı akış sistemlerini bozmak için analiz sonuçlarının manipülasyonu.
- Yanal hareket: Daha geniş altyapıya sızmak için Pinot’un Kafka veya Hadoop gibi sistemlerle entegrasyonlarının kullanılması.
Güvenlik açığının kritikliği, Pinot’un arka uç analiz yığınlarındaki tipik dağıtım ile güçlendirilir, burada kuruluşlar genellikle daha az maruz kalma riskleri üstlenir.
Bununla birlikte, yanlış yapılandırılmış RBAC politikaları veya internete dönük kontrolörler saldırı yüzeylerini önemli ölçüde arttırır.
Azaltma ve yama dağıtım stratejileri
Apache, 3 Mart 2025’te piyasaya sürülen Pinot 1.3.0’daki kusuru çözdü.
Yöneticiler:
- Hemen yükselt Yamalı versiyona tüm Pinot denetleyicileri, broker ve sunucular.
- RBAC’ı zorla: Erişimi kısıtlayın
/appConfigsPinot’un güncellenmiş rol tabanlı kontrollerini kullanarak diğer idari uç noktalar. - Groovy komut dosyasını devre dışı bırakın: Gereksiz işlevleri yoluyla kaldırın
pinot.server.instance.enable.groovy=falseRCE risklerini azaltmak için yapılandırma içi dosyalar. - Ağ sertleştirme: Pinot kümelerini genel ağlardan izole edin ve hizmetler arası iletişim için karşılıklı TL’leri uygulayın.
Açıklama zaman çizelgesi aciliyetin altını çiziyor:
- 16 Temmuz 2024: Güvenlik Açığı Apache’ye bildirildi.
- 3 Mart 2025: Koordineli kamu danışmanlığı sürümü.
Gerçek zamanlı analitik için Pinot kullanan kuruluşlar, potansiyel ihlalleri tespit etmek ve RBAC yapılandırmalarını doğrulamak için adli denetimler yapmalıdır.
Kimlik doğrulama bypass kusurları bir üst saldırı vektörü olarak kaldıkça, çalışma zamanı güvenlik açığı izlemeyi entegre etmek (örneğin, Whind’in CVE tespiti) ve sıfır güven ilkelerinin uygulanması dağıtılmış veri sistemlerini korumak için kritik öneme sahiptir.
Bu olay, hız optimizasyonlarının genellikle güvenlik hususlarından önce olduğu yüksek performanslı veri altyapısındaki artan riskleri vurgulamaktadır.
Proaktif yama yönetimi ve sürekli tehdit modellemesi artık isteğe bağlı değildir-veri odaklı işletmeler için varoluşsal zorunluluklardır.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free