- בלוג
- עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE
עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE
עדכון ל-Apache Avro סוגר פרצה המאפשרת מתקפת RCE
פורסם ב 15-10-2024
מפתחי פרוייקט Apache Avro, כלי פופולרי בקוד פתוח לביצוע סריאליזציה, חושפים כי נמצאה פרצה חמורה המאפשרת הוצאה לפועל של קוד מרחוק (RCE) כתוצאה משימוש בכלי.
הפרצה, שתוייגה כ-CVE-2024-47561, נמצאת בכל הגירסאות של Apache Avro החל מגירסה 1.11.3 וקודמותיה. דירוגה בסולם CVSSv3 הוא 9.3 מתוך 10 – רמת סיכון קריטית. היא התגלתה על ידי קוסטיה קורטצ’ינסקי (Kostya Kortchinsky) מצוות אבטחת המידע של Databricks.
סריאליזציה היא המרתם של אובייקטי מידע לביטים, כדי ש”יתפסו” פחות מקום לשם אכסון והעברה.
לאחר מכן, ניתן “לבנות” את האובייקטים מחדש מהביטים, בתהליך הנקרא דה-סריאליזציה.
התהליך משמש בעיקר חברות שנדרשות לעבד כמויות מסיביות של מידע ונתונים.
איך הפרצה ב-Apache Avro עובדת?
הפרצה גלומה בתהליך הניתוח (parsing) של סכמות דה-סריאליזציה. בתהליך הניתוח, לא מתבצעת בדיקה אם הנתונים אכן בטוחים. כפועל יוצא מזה, תוקף זדוני יכול להחדיר לנתונים שעוברים דה-סריאליזציה (כאשר הם עוד מאוכסנים כביטים, או במהלך התהליך עצמו) נתונים שונים. לנתונים אלה יש פוטנציאל להפוך את האובייקטים לבעלי רכיבים שיאפשרו מתקפות שונות או פקודות שיכולות להזיק למערכת (כלומר, מתקפת RCE).
ככל הנראה, הפרצה משפיעה על נתונים של רכיבי Java, שלא יכולים לעבור בדיקת אמון דרך DataReflect ו-SpecificData.
מי שלא יכול לעדכן את המערכת שלו כרגע, יכול לנקוט בצעדים הבאים:
1. לא לבצע עיבוד וניתוח (parsing) לסכמות שמסופקות על ידי משתמשים במערכת.
2. להעביר סכמות תהליך של סטריליזציה וטיהור לפני שמבצעים להן עיבוד וניתוח.
נקיטה בצעדים אלה מומלצת גם אחרי העדכון.
עדכון: דירוג הפרצה בסולם CVSSv3 ירד ל-7.3 מתוך 10 – כלומר, רמת סיכון גבוהה “בלבד”. עם זאת, אנו עדיין ממליצים למשתמשים ב-Apache Avro לבצע עדכון מהר ככל האפשר.
אם אתם צריכים עזרה נוספת, אל תהססו לפנות אלינו. צור קשר
