Azure HDInsight’ın Apache Hadoop, Kafka ve Spark hizmetlerinde ayrıcalık yükseltme ve normal ifade hizmet reddi (ReDoS) koşulu elde etmek için yararlanılabilecek üç yeni güvenlik açığı keşfedildi.
Orca güvenlik araştırmacısı Lidor Ben Shitrit, The Hacker News ile paylaşılan teknik raporda “Yeni güvenlik açıkları, Apache Ambari ve Apache Oozie gibi Azure HDInsight hizmetlerinin kimliği doğrulanmış tüm kullanıcılarını etkiliyor” dedi.
Kusurların listesi aşağıdaki gibidir:
- CVE-2023-36419 (CVSS puanı: 8,8) – Azure HDInsight Apache Oozie İş Akışı Zamanlayıcı XML Harici Varlık (XXE) Ekleme Ayrıcalık Yükselmesi Güvenlik Açığı
- CVE-2023-38156 (CVSS puanı: 7,2) – Azure HDInsight Apache Ambari Java Veritabanı Bağlantısı (JDBC) Ayrıcalık Yükseltilmesi Güvenlik Açığı
- Azure HDInsight Apache Oozie Normal İfade Hizmet Reddi (ReDoS) Güvenlik Açığı (CVE yok)
Bu iki ayrıcalık yükseltme kusuru, hedef HDI kümesine erişimi olan kimliği doğrulanmış bir saldırgan tarafından, özel hazırlanmış bir ağ isteği göndermek ve küme yöneticisi ayrıcalıkları kazanmak için kullanılabilir.
XXE kusuru, kök düzeyinde dosya okumaya ve ayrıcalık yükseltmeye izin veren kullanıcı girişi doğrulama eksikliğinin bir sonucudur; JDBC enjeksiyon kusuru ise kök olarak bir ters kabuk elde etmek için silah haline getirilebilir.
“Apache Oozie’deki ReDoS güvenlik açığı, uygun giriş doğrulama ve kısıtlama uygulama eksikliğinden kaynaklandı ve bir saldırganın çok çeşitli eylem kimlikleri talep etmesine ve yoğun bir döngü işlemine neden olarak hizmet reddine (DoS) yol açmasına olanak sağladı. ,” Ben Shitrit açıkladı.
ReDoS güvenlik açığının başarıyla kullanılması, sistem operasyonlarının kesintiye uğramasına, performansın düşmesine neden olabilir ve hizmetin hem kullanılabilirliğini hem de güvenilirliğini olumsuz yönde etkileyebilir.
Sorumlu bir açıklamanın ardından Microsoft, 26 Ekim 2023’te yayımlanan güncellemelerin parçası olarak düzeltmeler yayınladı.
Bu gelişme, Orca’nın açık kaynak analitik hizmetinde veri erişimi, oturum ele geçirme ve kötü amaçlı yüklerin dağıtılması için kullanılabilecek sekiz kusurdan oluşan bir koleksiyonu ayrıntılı olarak açıklamasından yaklaşık beş ay sonra geldi.
Aralık 2023’te Orca, Apache Hadoop Dağıtılmış Dosya Sistemindeki herhangi bir veriye erişmek için kaynak oluştururken Apache Hadoop’un web arayüzlerindeki ve varsayılan ayarlarındaki güvenlik kontrollerinin eksikliğinden yararlanan Google Cloud Dataproc kümelerini etkileyen “olası kötüye kullanım riskini” de vurguladı ( HDFS) herhangi bir kimlik doğrulaması olmadan.