Experts beschrijven nieuwe tekortkomingen in Azure HDInsight Spark, Kafka en Hadoop Services

Cyberbeveiliging
Azure HDInsight Spark, Kafka, and Hadoop Services

Er zijn drie nieuwe beveiligingsproblemen ontdekt in de Apache Hadoop-, Kafka- en Spark-services van Azure HDInsight die kunnen worden misbruikt om escalatie van bevoegdheden en een ReDoS-voorwaarde (reguliere expressie denial-of-service) te bewerkstelligen.

“De nieuwe kwetsbaarheden treffen elke geverifieerde gebruiker van Azure HDInsight-services zoals Apache Ambari en Apache Oozie”, zei Orca-beveiligingsonderzoeker Lidor Ben Shitrit in een technisch rapport gedeeld met The Hacker News.

De lijst met gebreken is als volgt:

  • CVE-2023-36419 (CVSS-score: 8,8) – Azure HDInsight Apache Oozie Workflow Scheduler XML External Entity (XXE) Injectie met betrekking tot misbruik van bevoegdheden
  • CVE-2023-38156 (CVSS-score: 7,2) – Beveiligingslek met betrekking tot misbruik van bevoegdheden in Azure HDInsight Apache Ambari Java Database Connectivity (JDBC)
  • Azure HDInsight Apache Oozie Reguliere expressie Denial-of-Service (ReDoS) beveiligingslek (geen CVE)

De twee tekortkomingen in de escalatie van bevoegdheden kunnen worden misbruikt door een geverifieerde aanvaller met toegang tot het doel-HDI-cluster om een ​​speciaal vervaardigd netwerkverzoek te verzenden en clusterbeheerdersrechten te verkrijgen.

Azure HDInsight Spark-, Kafka- en Hadoop-services

De XXE-fout is het resultaat van een gebrek aan validatie van gebruikersinvoer, waardoor het lezen van bestanden op rootniveau en escalatie van bevoegdheden mogelijk is, terwijl de JDBC-injectiefout kan worden ingezet om een ​​omgekeerde shell als root te verkrijgen.

“De ReDoS-kwetsbaarheid op Apache Oozie werd veroorzaakt door een gebrek aan goede invoervalidatie en het afdwingen van beperkingen, en stelde een aanvaller in staat een groot aantal actie-ID’s op te vragen en een intensieve lusoperatie te veroorzaken, wat leidde tot een denial-of-service (DoS) ”, legde Ben Shitrit uit.

Succesvol misbruik van de ReDoS-kwetsbaarheid kan resulteren in een verstoring van de werking van het systeem, prestatievermindering veroorzaken en een negatieve invloed hebben op zowel de beschikbaarheid als de betrouwbaarheid van de service.

Na verantwoorde openbaarmaking heeft Microsoft fixes uitgerold als onderdeel van updates die op 26 oktober 2023 zijn uitgebracht.

De ontwikkeling komt bijna vijf maanden nadat Orca een verzameling van acht tekortkomingen in de open-source analyseservice heeft beschreven die kunnen worden uitgebuit voor gegevenstoegang, sessiekaping en het leveren van kwaadaardige payloads.

In december 2023 benadrukte Orca ook een “potentieel misbruikrisico” dat van invloed is op Google Cloud Dataproc-clusters die profiteren van een gebrek aan beveiligingscontroles in de webinterfaces en standaardinstellingen van Apache Hadoop bij het maken van bronnen om toegang te krijgen tot gegevens op het Apache Hadoop Distributed File System ( HDFS) zonder enige authenticatie.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Chat Mobile heeft zojuist de mogelijkheid toegevoegd om berichten een ster te geven

OnePlus springt op de AI-trein met een aantal opwindende nieuwe functies

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]