Lỗ hổng cho phép tin tặc tấn công thực thi mã từ xa trong Apache Avro SDK

Lỗ hổng cho phép tin tặc tấn công thực thi mã từ xa trong Apache Avro SDK

Được đánh giá với mức độ nghiêm trọng High, vừa qua CVE-2024-47561 được phát hiện đang tồn tại trên sản phẩm Apache Avro Java Software Development Kit (SDK), cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống nếu khai thác thành công.

Thông tin chi tiết

  • Định danh lỗ hổng: CVE-2024-47561
  • Mức độ nghiêm trọng: High
  • Điểm CVSS(3.1): 7.3
  • Phân dạng lỗ hổng: Remote Code Execution
  • Mô tả: Lỗ hổng liên quan đến việc parsing schema (phân tích cấu trúc dữ liệu) trong Java SDK có thể bị lợi dụng để chạy các đoạn mã (code) tùy ý, tạo cơ hội cho kẻ tấn công lợi dụng và thực thi mã độc từ xa trên hệ thống.
  • Phiên bản ảnh hưởng: Phiên bản Apache Avro 1.11.3 và các phiên bản trở về trước.

Apache Avro, tương tự như Google's Protocol Buffers (protobuf), là một dự án mã nguồn mở cung cấp một khung dữ liệu phân tích độc lập ngôn ngữ cho việc xử lý dữ liệu quy mô lớn.

Đội ngũ phát triển của Avro lưu ý rằng lỗ hổng này ảnh hưởng đến bất kỳ ứng dụng nào nếu ứng dụng đó cho phép người dùng cung cấp schema Avro của riêng họ để phân tích cú pháp. Kostya Kortchinsky, từ đội bảo mật của Databricks, được ghi nhận là người phát hiện và báo cáo vấn đề bảo mật này.

Phương án khắc phục lỗ hổng trên ngay lập tức được đội ngũ phát triển Avro đưa ra kịp thời. Người dùng được khuyến nghị cập nhật lên phiên bản Apache Avro 1.11.4 hoặc 1.12.0 sớm nhất nhằm tránh gặp rủi ro gây mất an toàn thông tin trên hệ thống của mình. Đối với các trường hợp chưa thể cập nhật Avro lên phiên bản mới nhất, đội ngũ phát triển của Avro khuyến nghị người dùng không parse các schema tùy chỉnh của người dùng hoặc cần lọc kỹ các schema trước khi tiến hành phân tích.

Nhà nghiên cứu bảo mật Mayuresh Dani tại Qualys trong một chia sẻ với tờ The Hacker News cho biết: "Việc xử lý dữ liệu đầu vào từ một kẻ tấn công sẽ dẫn đến việc thực thi mã. Dựa trên báo cáo tình báo mối đe dọa của chúng tôi, hiện tại không có PoC công khai, nhưng lỗ hổng này tồn tại khi xử lý các gói qua chỉ thị ReflectData và SpecificData, và cũng có thể bị khai thác qua Kafka. Vì Apache Avro là một dự án mã nguồn mở, nó được nhiều tổ chức sử dụng. Dựa trên dữ liệu công khai, phần lớn các tổ chức này nằm ở Mỹ. Điều này chắc chắn có nhiều tác động bảo mật nếu lỗ hổng này không được vá, không được giám sát và bảo vệ."

Tham khảo

  1. NIST: https://nvd.nist.gov/vuln/detail/CVE-2024-47561
  2. The Hacker News: https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html