Trois nouvelles vulnérabilités de sécurité ont été découvertes dans Apache d’Azure HDInsight Hadoop, Kafkaet Étincelle services qui pourraient être exploités pour obtenir une élévation de privilèges et un déni de service d’expression régulière (ReDoS) condition.
« Les nouvelles vulnérabilités affectent tout utilisateur authentifié des services Azure HDInsight tels qu’Apache Ambari et Apache Oozie », a déclaré Lidor Ben Shitrit, chercheur en sécurité chez Orca. dit dans un rapport technique partagé avec The Hacker News.
La liste des défauts est la suivante –
- CVE-2023-36419 (score CVSS : 8,8) – Azure HDInsight Apache Oozie Workflow Scheduler XML External Entity (XXE) Vulnérabilité d’élévation de privilèges par injection
- CVE-2023-38156 (score CVSS : 7,2) – Azure HDInsight Apache Ambari Java Database Connectivity (JDBC) Vulnérabilité d’élévation de privilèges par injection
- Vulnérabilité de déni de service (ReDoS) dans les expressions régulières Azure HDInsight Apache Oozie (pas de CVE)
Les deux failles d’élévation de privilèges pourraient être exploitées par un attaquant authentifié ayant accès au cluster HDI cible pour envoyer une requête réseau spécialement conçue et obtenir les privilèges d’administrateur du cluster.
La faille XXE est le résultat d’un manque de validation des entrées utilisateur permettant la lecture de fichiers au niveau racine et l’élévation des privilèges, tandis que la faille d’injection JDBC pourrait être utilisée comme arme pour obtenir un shell inversé en tant que root.
« La vulnérabilité ReDoS sur Apache Oozie était causée par un manque de validation des entrées et d’application des contraintes, et permettait à un attaquant de demander une large gamme d’ID d’action et de provoquer une opération en boucle intensive, conduisant à un déni de service (DoS). « , a expliqué Ben Shitrit.
Une exploitation réussie de la vulnérabilité ReDoS pourrait entraîner une perturbation des opérations du système, entraîner une dégradation des performances et avoir un impact négatif sur la disponibilité et la fiabilité du service.
Suite à une divulgation responsable, Microsoft a déployé des correctifs dans le cadre de mises à jour sorti le 26 octobre 2023.
Le développement arrive près de cinq mois après qu’Orca a détaillé une série de huit failles dans le service d’analyse open source qui pourraient être exploitées pour l’accès aux données, le détournement de session et la fourniture de charges utiles malveillantes.
En décembre 2023, Orca également Souligné un « risque d’abus potentiel » affectant les clusters Google Cloud Dataproc qui profitent du manque de contrôles de sécurité dans les interfaces Web d’Apache Hadoop et des paramètres par défaut lors de la création de ressources pour accéder à toutes les données sur le système de fichiers distribués Apache Hadoop (HDFS) sans aucune authentification.