Han sido identificadas tres recientes vulnerabilidades de seguridad en los servicios de Apache Hadoop, Kafka y Spark de Azure HDInsight que podrían ser explotadas para lograr una escalada de privilegios y causar una condición de denegación de servicio mediante expresiones regulares (ReDoS).
Lidor Ben Shitrit, investigador de seguridad de Orca, compartió en un informe técnico con Masterhacks, que «las nuevas vulnerabilidades afectan a cualquier usuario autenticado de los servicios Azure HDInsight, como Apache Ambari y Apache Oozie».
Las vulnerabilidades identificadas son las siguientes:
- CVE-2023-36419 (puntuación CVSS: 8.8) – Inyección de Entidad Externa (XXE) en el Programador de Flujo de Trabajo Apache Oozie de Azure HDInsight que conlleva una Elevación de Privilegios.
- CVE-2023-38156 (puntuación CVSS: 7.2) – Inyección de Conectividad a Bases de Datos Java (JDBC) en Apache Ambari de Azure HDInsight que conlleva una Elevación de Privilegios.
- Vulnerabilidad de Denegación de Servicio por Expresiones Regulares (ReDoS) en Apache Oozie de Azure HDInsight (sin CVE).
Ambas vulnerabilidades de escalada de privilegios podrían ser aprovechadas por un atacante autenticado con acceso al clúster HDI objetivo al enviar una solicitud de red especialmente diseñada para obtener privilegios de administrador del clúster.
La vulnerabilidad XXE se debe a la falta de validación de la entrada del usuario, permitiendo la lectura de archivos a nivel de root y la escalada de privilegios. Por otro lado, la vulnerabilidad de inyección JDBC podría ser utilizada para obtener un shell inverso como root.
Ben Shitrit explicó que «la vulnerabilidad ReDoS en Apache Oozie de Azure HDInsight se originó por la falta de validación adecuada de la entrada y la aplicación de restricciones, permitiendo a un atacante solicitar un amplio rango de identificadores de acción y causar un bucle intensivo, lo que lleva a una denegación de servicio (DoS)».
La explotación exitosa de la vulnerabilidad ReDoS podría provocar una interrupción en las operaciones del sistema, causar degradación del rendimiento e impactar negativamente tanto en la disponibilidad como en la confiabilidad del servicio.
Tras una divulgación responsable, Microsoft ha implementado correcciones como parte de las actualizaciones lanzadas el 26 de octubre de 2023.
Este desarrollo ocurre aproximadamente cinco meses después de que Orca detallara una serie de ocho fallas en el servicio de análisis de código abierto que podrían ser aprovechadas para acceder a datos, secuestrar sesiones y distribuir cargas maliciosas.
En diciembre de 2023, Orca también resaltó un «posible riesgo de abuso» que afecta a los clústeres de Google Cloud Dataproc, aprovechando la falta de controles de seguridad en las interfaces web de Apache Hadoop y la configuración predeterminada al crear recursos para acceder a cualquier dato en el Sistema de Archivos Distribuido de Apache Hadoop (HDFS) sin autenticación.
