Netflix’in büyük veri uygulamalarına yönelik Genie iş düzenleme motorunun açık kaynak sürümündeki kritik bir güvenlik açığı, uzaktaki saldırganlara, yazılımın etkilenen sürümlerini çalıştıran sistemlerde potansiyel olarak rastgele kod yürütme olanağı sağlıyor.
Olarak belirtilen hata CVE-2024-4701, CVSS güvenlik açığı ciddiyet ölçeğinde 10 üzerinden 9,9’luk maksimuma yakın kritik puan taşıyor. Kullanıcı tarafından gönderilen dosya eklerini yüklemek ve depolamak için temeldeki yerel dosya sistemini kullanarak, kendi Genie OSS örneğini çalıştıran kuruluşlara saldırır.
Kuruluşlar, bu farklı çerçeveler ve dağıtılmış hesaplama kümeleri genelinde çeşitli büyük veri işlerini ve iş akışlarını düzenlemek, çalıştırmak ve izlemek için Genie’yi kullanabilir. API’ler aynı zamanda bu dağıtılmış kümelerin ve bunlar üzerinde çalışan uygulamaların meta verilerinin ve yapılandırmasının yönetilmesini de kolaylaştırır.
Ayrıca kuruluşlara, kullanıcıların Hadoop, Spark, Pig, Hive, Sqoop ve Presto gibi büyük veri ortamları için gereken hesaplama kaynaklarına erişmeleri için uygulama programlama arayüzleri (API’ler) sağlar.
Kısacası bol miktarda dahili veri ve kaynağa erişim sunar.
Contrast Security’den araştırmacılar kısa süre önce hatayı keşfedip Netflix’e bildirdiler ve bu hafta sunulan bir raporda güvenlik sağlayıcısı, güvenlik açığının dosya yükleme işlemi sırasında uzaktan kod yürütülmesine (RCE) olanak tanıdığını açıkladı.
Contrast araştırmacıları şöyle yazdı: “Başarılı olursa, böyle bir saldırı, bir Web uygulamasını okumaya ve dolayısıyla uygulamanın belge kök dizini veya Web sunucusu dışındaki dosyaların içeriğini açığa çıkarmaya kandırabilir.” “[This includes] arka uç sistemler, uygulama kodu ve verileri ve hassas işletim sistemi dosyaları için kimlik bilgileri.”
Netflix, petabayt ölçeğindeki ortamında binlerce günlük Hadoop işini yürütmek için on yıldan fazla bir süredir Genie’yi dahili olarak kullanıyor. Şirket teknolojiyi piyasaya sürdü 2013 yılında açık kaynak topluluğuna.
CVE-2024-4701 için Maksimum Önem Derecesine Yakın
Güvenlik açığı, 4.3.18’den önceki Genie OSS sürümlerinde mevcuttur. Netflix, Genie OSS 4.3.18 sürümündeki sorunu düzeltti ve kuruluşların riski azaltmak için yeni sürüme yükseltmelerini istiyor. Şirket, güvenlik açığından yararlanmanın nispeten kolay olduğunu ve özel kullanıcı ayrıcalıkları veya etkileşimi gerektirmediğini değerlendirdi.
“Eklerini yerel olarak temel dosya sisteminde saklamayan Genie kullanıcıları bu soruna karşı savunmasız değildir.” Netflix GitHub’daki bir yayında şunu söyledi:.
Contrast Security, güvenlik açığının, diğer şeylerin yanı sıra kullanıcıların Spark SQL aracılığıyla SQL sorguları göndermesine olanak tanıyan bir Genie API’sini içerdiğini açıkladı. Contrast araştırmacılarına göre “Bu sürecin bir parçası olarak çalıştırılacak SQL’i içeren bir SQL dosyası yükleyebilirsiniz.” Dosya adı parametresinin yol geçiş saldırısına açık olduğunu keşfettiler. Dolayısıyla, bir saldırgan temel olarak dosyayı beklenen yükleme konumunun dışında bir konuma yüklemesine olanak sağlayacak şekilde bir dosya adı oluşturabilir.
“[A successful attack would] Contrast’ta personel uygulama güvenliği araştırmacısı Joseph Beeton, bir saldırganın temeldeki sunucunun kontrolünü ele geçirmesine ve potansiyel olarak Genie’nin üzerinde çalıştığı büyük veri kümelerine erişmesine/sızmasına olanak tanıyabilir” diyor. Sabit sürüme hemen güncelleme yapamayan kuruluşlara tavsiyede bulunuyor Yazılımın sürümü, Genie uygulamasına ağ erişimini sınırlandırır ve bu uygulamanın İnternet’ten erişilemediğinden emin olur.
Netflix, sorunun API’nin kullanıcı tarafından sağlanan bir dosya adını kabul etmesi ve dosyayı diske yazarken bu dosya adını kullanması ile ilgili olduğunu tanımladı. Netflix GitHub gönderisine göre, “Bu dosya adı kullanıcı tarafından kontrol edildiğinden, kötü niyetli bir aktörün, varsayılan ek depolama yolunu aşmak ve yol geçişi gerçekleştirmek amacıyla dosya adını değiştirmesi mümkündür.” Netflix, bir saldırganın kullanıcı tarafından belirlenen herhangi bir adı ve dosya içeriğini içeren bir dosyayı sistemdeki herhangi bir konuma yüklemek için bundan yararlanabileceğini ve böylece uzaktan kod yürütülmesine olanak sağlayabileceğini söyledi.
Yol geçişi — veya dizin geçişi — güvenlik açıkları oldukça yaygındır Ve tehlikeli konu. FBI’ın İnternet Suçlarıyla Uyumluluk Merkezi (IC3) yakın zamanda bir Güvenlik açığı sınıfına ilişkin tavsiyeler, üretken tehdit aktörü aktivitesinden bahsediyor.
Örnekler ConnectWise ScreenConnect’teki yeni bir güvenlik açığını içeriyordu (CVE-2024-1708) çok sayıda ilk erişim aracısının ve tehdit grubunun fidye yazılımı sunmak için istismar ettiği ve CVE-2024-20345Saldırganların sağlık hizmetlerine ve diğer kritik altyapı kuruluşlarına karşı istismar ettiği Cisco AppDynamics Controller’daki bir yol geçiş kusuru. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) ve FBI, kuruluşlara, satıcılara ürünlerini potansiyel dizin geçiş sorunları açısından inceleyip incelemediklerini sormaları ve çevrelerinde bu tür kusurlar mevcutsa sorunu hafifletmek için acil önlem almaları konusunda çağrıda bulunuyor.
IC3 danışma belgesinde, “Dizin geçişi istismarları başarılı oldu çünkü teknoloji üreticileri, kullanıcı tarafından sağlanan içeriği potansiyel olarak kötü amaçlı olarak ele alamıyor, dolayısıyla müşterilerini yeterince koruyamıyor.”