Dans la base de données NoSQL distribuée open source Apache Cassandra des chercheurs en sécurité ont découvert une vulnérabilité qui pourrait permettre à un attaquant d’injecter et d’exécuter du code arbitraire (CVE-2021-44521, CVSS 9.1, risque critiquemais JFrog attribue à ce risque la note CVSS 8.4 comme élevé ). Pour cela, certaines options de configuration doivent être définies, qui diffèrent de la norme. Des mises à jour sont disponibles pour corriger cette erreur.
La vulnérabilité semble être facilement exploitable si les options enable_user_defined_functions: true, enable_scripted_user_defined_functions: true et enable_user_defined_functions_threads: false dans le fichier de configuration cassandra.yaml respectivement Config.java ont été définies. De plus, un attaquant a besoin des autorisations pour créer des fonctions personnalisées dans le cluster – mais par défaut, les connexions anonymes sont également autorisées. Cette configuration a été documentée comme non sécurisée selon l’entrée CVE et le reste même après l’installation des mises à jour.
Sommaire
Aucune garantie de sécurité
Les découvreurs de la faille de l’entreprise de sécurité informatique JFrog expliquent dans leur message de sécurité que les fonctions définies par l’utilisateur peuvent être écrites en Java ou en JavaScript. JavaScript exécute le moteur JavaScript Nashorn, qui fonctionne quant à lui dans la machine virtuelle Java. Nashorn ne garantit pas la sécurité du code non fiable, de sorte que l’exécution de code dans Nashorn devrait être placée dans une sandbox.
Les développeurs de Cassandra ont implémenté comme sandbox un mécanisme de filtrage basé sur une liste blanche et une liste noire de classes. Ils utilisent également le gestionnaire de sécurité Java pour contrôler les autorisations d’accès au code exécuté. Les chercheurs en sécurité expliquent que les options de configuration susmentionnées rendent ces mécanismes de sandbox inopérants. Ils expliquent en détail les effets des différentes options de configuration dans leur article de blog et présentent également un exploit de preuve de concept.
Installer la mise à jour maintenant
Les versions d’Apache Cassandra 3.0.x, 3.11.x ainsi que 4.0.x sont concernées. Les versions 3.0.26, 3.11.12 et 4.0.2 comblent les failles de sécurité. La correction de bugs des développeurs Apache ajoute une nouvelle option de configuration allow_extra_insecure_udfsqui est configurée par défaut sur false est définie. Elle empêche la désactivation du gestionnaire de sécurité Java ainsi que l’accès à java.lang.System.
Les administrateurs doivent installer les mises à jour disponibles, recommandent vivement les chercheurs en sécurité informatique, afin d’empêcher l’exploitation éventuelle des failles de sécurité.