Expertos detallan nuevas vulnerabilidades en los servicios de Azure HDInsight, Spark, Kafka y Hadoop

0

Investigadores revelan vulnerabilidades en los servicios de Azure HDInsight, Spark, Kafka y Hadoop

Han sido identificadas tres recientes vulnerabilidades de seguridad en los servicios de Apache Hadoop, Kafka y Spark de Azure HDInsight que podrían ser explotadas para lograr una escalada de privilegios y causar una condición de denegación de servicio mediante expresiones regulares (ReDoS).

Lidor Ben Shitrit, investigador de seguridad de Orca, compartió en un informe técnico con Masterhacks, que «las nuevas vulnerabilidades afectan a cualquier usuario autenticado de los servicios Azure HDInsight, como Apache Ambari y Apache Oozie».

Las vulnerabilidades identificadas son las siguientes:

  • CVE-2023-36419 (puntuación CVSS: 8.8) – Inyección de Entidad Externa (XXE) en el Programador de Flujo de Trabajo Apache Oozie de Azure HDInsight que conlleva una Elevación de Privilegios.
  • CVE-2023-38156 (puntuación CVSS: 7.2) – Inyección de Conectividad a Bases de Datos Java (JDBC) en Apache Ambari de Azure HDInsight que conlleva una Elevación de Privilegios.
  • Vulnerabilidad de Denegación de Servicio por Expresiones Regulares (ReDoS) en Apache Oozie de Azure HDInsight (sin CVE).

Ambas vulnerabilidades de escalada de privilegios podrían ser aprovechadas por un atacante autenticado con acceso al clúster HDI objetivo al enviar una solicitud de red especialmente diseñada para obtener privilegios de administrador del clúster.

La vulnerabilidad XXE se debe a la falta de validación de la entrada del usuario, permitiendo la lectura de archivos a nivel de root y la escalada de privilegios. Por otro lado, la vulnerabilidad de inyección JDBC podría ser utilizada para obtener un shell inverso como root.

Ben Shitrit explicó que «la vulnerabilidad ReDoS en Apache Oozie de Azure HDInsight se originó por la falta de validación adecuada de la entrada y la aplicación de restricciones, permitiendo a un atacante solicitar un amplio rango de identificadores de acción y causar un bucle intensivo, lo que lleva a una denegación de servicio (DoS)».

La explotación exitosa de la vulnerabilidad ReDoS podría provocar una interrupción en las operaciones del sistema, causar degradación del rendimiento e impactar negativamente tanto en la disponibilidad como en la confiabilidad del servicio.

Tras una divulgación responsable, Microsoft ha implementado correcciones como parte de las actualizaciones lanzadas el 26 de octubre de 2023.

Este desarrollo ocurre aproximadamente cinco meses después de que Orca detallara una serie de ocho fallas en el servicio de análisis de código abierto que podrían ser aprovechadas para acceder a datos, secuestrar sesiones y distribuir cargas maliciosas.

En diciembre de 2023, Orca también resaltó un «posible riesgo de abuso» que afecta a los clústeres de Google Cloud Dataproc, aprovechando la falta de controles de seguridad en las interfaces web de Apache Hadoop y la configuración predeterminada al crear recursos para acceder a cualquier dato en el Sistema de Archivos Distribuido de Apache Hadoop (HDFS) sin autenticación.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *