Se insta a los usuarios de Apache Cassandra a actualizar sus versiones después de que el equipo de investigación de seguridad de JFrog revelara una vulnerabilidad de ejecución remota de código que, según dijeron, es «fácil de explotar y tiene el potencial de causar estragos en los sistemas».
Shachar Menashe, director senior de investigación de seguridad en JFrog, dijo MarketingyPublicidad.es que aunque estas nuevas vulnerabilidades no afectan las instalaciones predeterminadas de Apache Cassandra donde las funciones definidas por el usuario (UDF) están deshabilitadas, muchas configuraciones de Cassandra las habilitan, lo que hace que la instancia sea vulnerable a un ataque RCE o DoS.
«Recomendamos mirar su configuración de Cassandra y, si las UDF están habilitadas, tomar las medidas adecuadas para remediar», dijo Menashe.
En una publicación de blog, el equipo de investigación de seguridad de JFrog explicó que CVE-2021-44521 recibió un CVSS de 8.4, pero dijo que solo afecta las configuraciones no predeterminadas de Cassandra.
Señalaron que Netflix, Twitter, Urban Airship, Constant Contact, Reddit, Cisco, OpenX, Digg, CloudKick y más usan Cassandra porque es una «base de datos NoSQL distribuida altamente escalable que es extremadamente popular debido a los beneficios de su naturaleza distribuida. «
«Cassandra ofrece la funcionalidad de crear funciones definidas por el usuario (UDF) para realizar un procesamiento personalizado de datos en la base de datos. Las UDF de Cassandra se pueden escribir de forma predeterminada en Java y JavaScript. En JavaScript, utiliza el motor Nashorn en Java Runtime Environment ( JRE), que es un motor de JavaScript que se ejecuta sobre la máquina virtual de Java (JVM)», dijeron los investigadores de seguridad de JFrog.
«No se garantiza que Nashorn sea seguro cuando acepta código que no es de confianza. Por lo tanto, cualquier servicio que permita tal comportamiento siempre debe envolver la ejecución de Nashorn en un espacio aislado. Mientras investigamos la implementación del espacio aislado UDF de Cassandra, nos dimos cuenta de que una combinación de elementos específicos (no -predeterminado) las opciones de configuración podrían permitirnos abusar del motor Nashorn, escapar de la zona de pruebas y lograr la ejecución remota de código. Esta es la vulnerabilidad que informamos como CVE-2021-44521».
Las implementaciones se vuelven vulnerables al problema cuando el archivo de configuración cassandra.yaml contiene ciertas definiciones descritas en el blog, y JFrog dijo que también encontró otros problemas con aquellos que ejecutan Cassandra en algunas configuraciones no predeterminadas.
Instaron a los usuarios de Apache Cassandra 3.0.x a actualizar a 3.0.26, agregando que los usuarios de 3.11.x deberían actualizar a 3.11.12 y los usuarios de 4.0.x deberían actualizar a 4.0.2. Todas las versiones actualizadas resuelven CVE-2021-44521.
También hay varias mitigaciones para aquellos que no pueden actualizar sus instancias de Cassandra. Los usuarios pueden deshabilitar las UDF, si no se usan activamente, configurando enable_user_defined_functions en falso, y si se necesitan las UDF, los usuarios pueden configurar enable_user_defined_functions_threads en verdadero.
Los usuarios también pueden eliminar los permisos de creación, modificación y ejecución de funciones para usuarios que no son de confianza eliminando los siguientes permisos: TODAS LAS FUNCIONES, TODAS LAS FUNCIONES EN EL ESPACIO DE TECLAS y FUNCIÓN para consultas CREAR, ALTERAR y EJECUTAR.
El cazador de amenazas de Netenrich, John Bambenek, dijo que si bien esto no es tan serio como Log4j, tiene la apariencia de algo que es móvil y potencialmente generalizado.
«Aunque requiere ajustes de configuración de usuario no predeterminados, sospecho que los ajustes son comunes en muchas aplicaciones en todo el mundo. Desafortunadamente, no hay forma de saber exactamente cuántas instalaciones son vulnerables y es probable que este sea el tipo de vulnerabilidad que ser pasado por alto por los escáneres de vulnerabilidad automatizados», dijo Bambenek.
«Las empresas tendrán que acceder a los archivos de configuración de cada instancia de Cassandra para determinar cuál es su riesgo».
Mike Parkin, ingeniero de Vulcan Cyber, señaló que cualquier organización que use Cassandra debería poder verificar su configuración fácilmente, especialmente si tiene software de configuración o administración de riesgos, y corregirlo si es vulnerable.
