Se han descubierto tres nuevas vulnerabilidades de seguridad en Apache de Azure HDInsight Hadoop, kafkay Chispa – chispear servicios que podrían explotarse para lograr una escalada de privilegios y una expresión regular de denegación de servicio (Rehacer) condición.
«Las nuevas vulnerabilidades afectan a cualquier usuario autenticado de los servicios Azure HDInsight como Apache Ambari y Apache Oozie», dijo el investigador de seguridad de Orca, Lidor Ben Shitrit. dicho en un informe técnico compartido con The Hacker News.
La lista de defectos es la siguiente:
- CVE-2023-36419 (Puntuación CVSS: 8,8) – Vulnerabilidad de elevación de privilegios de inyección de entidad externa XML (XXE) en Azure HDInsight Apache Oozie Workflow Scheduler
- CVE-2023-38156 (Puntuación CVSS: 7,2) – Vulnerabilidad de elevación de privilegios de inyección de Azure HDInsight Apache Ambari Java Database Connectivity (JDBC)
- Vulnerabilidad de denegación de servicio (ReDoS) de expresión regular de Azure HDInsight Apache Oozie (sin CVE)
Las dos fallas de escalada de privilegios podrían ser aprovechadas por un atacante autenticado con acceso al clúster HDI objetivo para enviar una solicitud de red especialmente diseñada y obtener privilegios de administrador del clúster.
La falla XXE es el resultado de una falta de validación de la entrada del usuario que permite la lectura de archivos a nivel raíz y la escalada de privilegios, mientras que la falla de inyección JDBC podría usarse como arma para obtener un shell inverso como raíz.
«La vulnerabilidad ReDoS en Apache Oozie fue causada por una falta de validación de entrada adecuada y aplicación de restricciones, y permitió a un atacante solicitar una amplia gama de ID de acción y provocar una operación de bucle intensiva, lo que llevó a una denegación de servicio (DoS) «, explicó Ben Shitrit.
La explotación exitosa de la vulnerabilidad ReDoS podría provocar una interrupción de las operaciones del sistema, provocar una degradación del rendimiento y afectar negativamente tanto a la disponibilidad como a la confiabilidad del servicio.
Tras una divulgación responsable, Microsoft ha implementado correcciones como parte de actualizaciones lanzado el 26 de octubre de 2023.
El desarrollo llega casi cinco meses después de que Orca detallara una colección de ocho fallas en el servicio de análisis de código abierto que podrían explotarse para acceder a datos, secuestrar sesiones y entregar cargas útiles maliciosas.
En diciembre de 2023, Orca también resaltado un «riesgo potencial de abuso» que afecta a los clústeres de Google Cloud Dataproc que aprovechan la falta de controles de seguridad en las interfaces web de Apache Hadoop y la configuración predeterminada al crear recursos para acceder a cualquier dato en el sistema de archivos distribuido de Apache Hadoop (HDFS) sin ninguna autenticación.