CVE-2024-52577 olarak izlenen Apache Ignite’de kritik bir güvenlik açığı, sınıf serileştirme filtrelerinin yanlış uygulanması nedeniyle sistemleri uzaktan kod yürütme (RCE) saldırılarına maruz bırakır.
CVSS 9.8 olarak derecelendirilen bu kusur, IGNITE sürümlerini 2.6.0 ila 2.16.x sürümlerini etkiler, bu da saldırganların sunucu uç noktalarındaki seansizasyon zayıflıklarından yararlanarak keyfi kod yürütmesini sağlar.
Dağıtılmış bellek içi veritabanı platformu olan Apache Ignite, belirli uç noktalardaki sınıf serileştirme filtrelerini yanlış doğrular.
Saldırganlar, güvenlik kontrollerini atlayan serileştirilmiş nesneler içeren kötü niyetli yükler oluşturabilir ve süzüldüğünde kod yürütülmesini tetikleyebilir.
Güvenlik açığı, Ignite’ın seansikasyon sırasında tehlikeli sınıfları engellemek için tasarlanmış ObjectInputFilter yapılandırmalarını uygulama başarısızlığından kaynaklanmaktadır.
Başarılı sömürü, etkilenen sistemler üzerinde tam kontrol, veri bütünlüğünü, gizliliği ve kullanılabilirliği tehlikeye atar. Saldırı:
- Ignite uç noktalarını (örneğin, REST API, ikili protokoller) ateşlemek için ağ erişimi.
- Sunucunun sınıf yolunda bir gadget sınıfı (örneğin, sömürülebilir serileştirme yöntemlerine sahip bir kütüphane).
Muhabir Zhattatey ve iyileştirme geliştiricisi Mikhail Petrov, güvenlik açığının tanımlanmasına ve düzeltmesine katkıda bulundu.
Azaltma stratejileri
Apache Software Foundation, serileştirme filtrelerini kapsamlı bir şekilde uygulamak için 2.17.0 sürümünü yayınladı. Yöneticiler:
Maven kullanarak hemen yükseltme:
Uç noktalarını güvenlik duvarları veya güvenlik grupları aracılığıyla ateşlemek için ağ erişimini kısıtlayın ve beklenmedik sınıf yükleri veya giden ağ bağlantıları gibi anormal süzelleştirme girişimleri için günlükleri izleyin.
CVE-2024-52577, Java sealizasyonunda kalıcı risklerin altını çiziyor, bu da 2015 yılında Apache Commons koleksiyonlarında güvenlik açıklarıyla yaygın olarak yayınlanan bir sorun.
JEP 290 (Java 9’da serileştirme filtreleri getirme) gibi iyileştirmelere rağmen, yanlış yapılandırmalar yaygındır.
Apache Ignite kullanan kuruluşlar, 2.17.0’a yükseltmeye öncelik vermeli ve gereksiz gadget kütüphaneleri için sınıf yollarını denetlemelidir.
Saldırganlar giderek daha fazla serileştirme kusurlarını hedefledikçe, proaktif yama yönetimi ve derinlemesine savunma stratejileri RCE risklerini azaltmak için kritik öneme sahiptir.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun