Uma vulnerabilidade crítica na versão de código aberto do mecanismo de orquestração de empregos Genie da Netflix para aplicativos de big data dá aos atacantes remotos uma maneira de potencialmente executar código arbitrário em sistemas que executam versões afetadas do software.
O bug, designado como CVE-2024-4701, possui uma pontuação crítica máxima de 9,9 de 10 na escala de gravidade de vulnerabilidades CVSS. Ataca organizações que executam sua própria instância do Genie OSS, usando o sistema de arquivos local subjacente para fazer upload e armazenar anexos de arquivos enviados pelos usuários.
As organizações podem usar o Genie para orquestrar, executar e monitorar uma variedade de empregos e fluxos de trabalho de big data em diferentes estruturas e em clusters computacionais distribuídos. As APIs também facilitam a gestão dos metadados e configurações desses clusters distribuídos e dos aplicativos que rodam neles.
Ele também oferece às organizações interfaces de programação de aplicativos (APIs) para que os usuários acessem os recursos computacionais necessários para ambientes de big data, como Hadoop, Spark, Pig, Hive, Sqoop e Presto.
Em resumo, oferece acesso a muitos dados e recursos internos.
Pesquisadores da Contrast Security descobriram recentemente a falha e a reportaram à Netflix. Em um relatório apresentado esta semana, o provedor de segurança descreveu a vulnerabilidade como possibilitando a execução remota de código (RCE) durante o processo de upload de arquivos.
“Se bem-sucedido, esse tipo de ataque poderia enganar um aplicativo da web para ler e, consequentemente, expor o conteúdo de arquivos fora do diretório raiz do documento do aplicativo ou do servidor da web”, escreveram os pesquisadores da Contrast. “Isso inclui credenciais para sistemas back-end, código e dados do aplicativo e arquivos de sistema operacional sensíveis.”
A Netflix utiliza o Genie internamente há mais de uma década para executar milhares de empregos diários de Hadoop em seu ambiente em escala de petabytes. A empresa disponibilizou a tecnologia para a comunidade de código aberto em 2013.
Gravidade Máxima para CVE-2024-4701
A vulnerabilidade está presente nas versões do Genie OSS anteriores à 4.3.18. A Netflix corrigiu o problema na versão 4.3.18 do Genie OSS e deseja que as organizações atualizem para a nova versão para mitigar o risco. A empresa avaliou a vulnerabilidade como relativamente fácil de ser explorada e que não requer privilégios de usuário especiais ou interação.
“Os usuários do Genie que não armazenam anexos localmente no sistema de arquivos subjacente não são vulneráveis a este problema”, disse a Netflix em um post no GitHub.
A Contrast Security explicou a vulnerabilidade como envolvendo uma API do Genie que — entre outras coisas — permite que os usuários enviem consultas SQL via Spark SQL. “Como parte desse processo, você pode enviar um arquivo SQL contendo o SQL a ser executado”, de acordo com os pesquisadores da Contrast. O que eles descobriram foi que o parâmetro do nome do arquivo é suscetível a um ataque de travessia de caminho. Portanto, um atacante basicamente poderia construir um nome de arquivo de tal maneira que permitiria fazer o upload do arquivo para um local que está fora do local de upload esperado.
“Um ataque bem-sucedido permitiria a um atacante assumir o controle do servidor subjacente e potencialmente obter acesso/exfiltrar os conjuntos de dados grandes nos quais o Genie está operando”, diz Joseph Beeton, pesquisador de segurança de aplicativos da Contrast. Ele aconselha que as organizações que não possam atualizar imediatamente para a versão corrigida do software limitem o acesso de rede à aplicação do Genie e garantam que não seja acessível pela Internet.
A Netflix identificou o problema como relacionado com a API que aceita um nome de arquivo fornecido pelo usuário e utiliza esse nome ao gravar o arquivo no disco. “Uma vez que esse nome de arquivo é controlado pelo usuário, é possível para um ator malicioso manipular o nome do arquivo para escapar do caminho de armazenamento de anexos padrão e realizar a travessia de caminho”, de acordo com um post da Netflix no GitHub. Um atacante poderia explorar isso para fazer o upload de um arquivo com qualquer nome e conteúdo de arquivo especificado pelo usuário para qualquer local no sistema, permitindo assim a execução remota de código, disse a Netflix.
As vulnerabilidades de travessia de caminho — ou diretório — são um problema bastante comum e perigoso. O FBI’s Internet Crime Compliant Center (IC3) recentemente emitiu um alerta sobre a classe de vulnerabilidades, citando atividades prolíficas de atores de ameaças.
Exemplos incluem uma vulnerabilidade recente no ConnectWise ScreenConnect (CVE-2024-1708) que numerosos intermediários de acesso inicial e grupos de ameaças exploraram para entregar ransomware, e CVE-2024-20345, uma falha de travessia de caminho no Cisco AppDynamics Controller que os atacantes exploraram contra organizações de saúde e outras infraestruturas críticas. A Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos (CISA) e o FBI estão instando as organizações a perguntarem aos fornecedores se eles avaliaram seus produtos em busca de possíveis problemas de travessia de caminho e a tomarem medidas imediatas para mitigar o problema se tais defeitos estiverem presentes em seu ambiente.
“Os exploits de travessia de diretório têm sucesso porque os fabricantes de tecnologia falham em tratar o conteúdo fornecido pelo usuário como potencialmente malicioso, e, portanto, não protegem adequadamente seus clientes”, observou o IC3.
