Questa settimana discuteremo delle vulnerabilità critiche in diversi prodotti e servizi.
Esecuzione di codice remoto in Apache Cassandra
Apache Cassandra è un database NoSQL altamente scalabile e distribuito, estremamente popolare grazie ai vantaggi della sua natura distribuita. Alcune aziende forniscono addirittura soluzioni chiavi in mano basate su Cassandra. Date un'occhiata all'offerta DBaaS di Linode.
Quando si esegue Apache Cassandra con la seguente configurazione:
enable_user_defined_functions: true
enable_scripted_user_defined_functions: true
enable_user_defined_functions_threads: false
Un utente malintenzionato può eseguire codice arbitrario sull'host se dispone di autorizzazioni sufficienti per creare funzioni definite dall'utente nel cluster.
Causa principale - Cassandra offre la funzionalità di creare funzioni definite dall'utente (UDF) per eseguire un'elaborazione personalizzata dei dati nel database. Le UDF possono essere scritte in Java e JavaScript per impostazione predefinita. In JavaScript, utilizza il motore Nashorn nel Java Runtime Environment (JRE), che è un motore JavaScript che gira sopra la Java Virtual Machine (JVM). Nashorn non garantisce la sicurezza quando accetta codice non attendibile. Si veda il blog di JFrog per vedere come Nashorn può essere usato per eseguire codice non attendibile.
Gli utenti di Cassandra possono utilizzare le seguenti mitigazioni contro CVE-2021-44521:
Impostare `enable_user_defined_functions_threads: true`(è l'impostazione predefinita) OPPURE
Gli utenti di 3.0 devono aggiornare a 3.0.26
Gli utenti di 3.11 devono aggiornare a 3.11.12
Gli utenti di 4.0 devono aggiornare a 4.0.2
Potenziale falla nell'esecuzione di codice remoto in Redis
Redis è un archivio open source di strutture di dati in memoria che può essere utilizzato come database, cache e broker di messaggi. Redis consente di eseguire script Lua per migliorare le prestazioni e permette l'esecuzione atomica di tutti i passaggi di uno script. Nessun altro comando di Redis può essere eseguito durante l'esecuzione di uno script.
È stata scoperta la CVE-2022-0543 in Redis, a causa di un problema di impacchettamento, che è soggetta a un'evasione della sandbox di Lua (Debian-specifica), potenzialmente in grado di portare a una vulnerabilità di esecuzione di codice remoto.
Causa principale - La vulnerabilità esiste perché la libreria Lua in Debian è fornita come libreria dinamica. Viene popolata automaticamente una variabile "package" che, a sua volta, consente l'accesso a funzionalità Lua arbitrarie. Ad esempio, poiché questa funzionalità si estende alla funzione "execute" del modulo "os", un aggressore in grado di eseguire codice Lua arbitrario potrebbe potenzialmente eseguire comandi shell arbitrari.
Si consiglia di aggiornare il pacchetto Redis su Debian seguendo l'advisory del fornitore.
Escalation dei privilegi locali in snap-confine
Snap è un sistema di pacchettizzazione e distribuzione del software sviluppato da Canonical per i sistemi operativi che utilizzano il kernel Linux. I pacchetti sono chiamati snap e lo strumento per utilizzarli è snapd. Snap funziona su diverse distribuzioni Linux e consente agli sviluppatori di software upstream di distribuire le loro applicazioni direttamente agli utenti. Gli snap sono applicazioni autonome che vengono eseguite in una sandbox con accesso mediato al sistema host.
Snap-confine è un programma utilizzato internamente da snapd per costruire l'ambiente di esecuzione delle applicazioni snap.
CVE-2021-44730 e CVE-2021-44731, due bug di escalation dei privilegi locali, sono stati scoperti in snap-confine. Il primo è un attacco hardlink sfruttabile solo in una configurazione non predefinita, quando fs.protected_hardlinks del kernel è impostato su 0. Il secondo è causato da una race condition sfruttabile nelle installazioni predefinite di Ubuntu Desktop e nelle installazioni quasi predefinite di Ubuntu Server. Se queste vulnerabilità vengono sfruttate con successo, qualsiasi utente non privilegiato può ottenere i privilegi di root sull'host vulnerabile.
Le due falle sono risolte con la patch di snap-confine alla versione 2.54.3. Ubuntu afferma inoltre che "In generale, un aggiornamento standard del sistema apporterà tutte le modifiche necessarie" nella sua pagina di avviso.
Bug critici in Adobe Commerce, Magento, Chrome e Firefox
CVE-2022-24086 è una falla nella validazione impropria dell'input in Adobe Commerce e Magento Open Source, a cui è stato attribuito un punteggio CVSS di 9,8. Questa vulnerabilità potrebbe consentire a un aggressore remoto di eseguire codice arbitrario su un sistema interessato senza alcuna credenziale, consentendo potenzialmente attacchi di scrematura digitale su siti di e-commerce che eseguono il software CMS. Anche se sembra che gli attacchi in natura siano molto limitati, il fatto che Adobe abbia rilasciato una patch fuori banda il 13 febbraio 2022 la rende una vulnerabilità ad alto rischio.
CVE-2022-0609, è una vulnerabilità use-after-free nel componente Animazione di Chrome. Potrebbe consentire a un aggressore remoto di eseguire codice arbitrario su un computer creando una pagina web appositamente creata e inducendo gli utenti a visitarla. Google è a conoscenza di segnalazioni che indicano l'esistenza di un exploit per CVE-2022-0609 e raccomanda agli utenti di aggiornare alla versione 98.0.4758.102 per correggere questa vulnerabilità.
CVE-2021-38503 is an Improper authorization flaw in Firefox. The root cause of this vulnerability is incorrect implementation of iframe sandbox rules for XSLT stylesheets, allowing an iframe to bypass restrictions such as executing scripts or navigating the top-level frame. This vulnerability affects Firefox < 94, Thunderbird < 91.3, and Firefox ESR < 91.3.
Download arbitrario del backup nel plugin WordPress UpdraftPlus
UpdraftPlus è un popolare plugin di back-up per siti WordPress che consente di scaricare i backup. Una delle caratteristiche implementate dal plugin era la possibilità di inviare i link per il download dei backup a un'e-mail a scelta del proprietario del sito. Purtroppo, questa funzionalità è stata implementata in modo insicuro, rendendo possibile agli utenti autenticati di basso livello, come gli abbonati, di creare un link valido che permettesse loro di scaricare i file di backup.
Il plugin UpdraftPlus per WordPress Free prima della versione 1.22.3 e Premium prima della versione 2.22.3 non convalida correttamente che un utente abbia i privilegi richiesti per accedere all'identificatore nonce di un backup, il che potrebbe consentire a qualsiasi utente con un account sul sito (ad esempio un abbonato) di scaricare il backup più recente del sito e del database.
Causa principale - L'attacco inizia con la funzione heartbeat di WordPress. L'attaccante deve inviare una richiesta di heartbeat appositamente creata contenente un parametro data[updraftplus][updraft_credentialtest_nonce] mentre è in corso un backup. Se è in grado di temporizzare questa richiesta in un momento qualsiasi durante l'esecuzione di un backup, la risposta restituirà il nonce del backup richiesto per scaricare quel particolare backup.
Questa vulnerabilità è stata corretta nella versione 1.22.3 di UpdraftPlus.
Commenti