اشکال بحرانی اجازه می دهد تا DoS، RCE، نشت داده در همه پلتفرم های اصلی ابری | دانش مرکز داده

محققان یک آسیب‌پذیری شدید حافظه را در داخل ابزار گزارش‌گیری ابری که در پلتفرم‌های ابری اصلی استفاده می‌شود، کشف کرده‌اند.

این سرویس، Fluent Bit، یک ابزار منبع باز برای جمع‌آوری، پردازش و ارسال گزارش‌ها و انواع دیگر داده‌های برنامه است. این نرم‌افزار یکی از محبوب‌ترین نرم‌افزارهای موجود است، با بیش از سه میلیارد بارگیری تا سال 2022، و حدود 10 میلیون جدید در هر روز اجرا می‌شود. این توسط سازمان‌های بزرگی مانند VMware، Cisco، Adobe، Walmart و LinkedIn و تقریباً هر ارائه‌دهنده خدمات ابری بزرگ، از جمله AWS، Microsoft، و Google Cloud استفاده می‌شود.

مشکل فلوئنت بیت که در گزارش جدیدی از Tenable به آن “Lumberjack زبانی” لقب گرفته است، در نحوه تجزیه درخواست‌های ردیابی توسط سرور HTTP تعبیه‌شده این سرویس نهفته است. با دستکاری به روشی یا دیگری، می‌تواند باعث انکار سرویس (DoS)، نشت داده یا اجرای کد از راه دور (RCE) در یک محیط ابری شود.

جیمی سبری می‌گوید: «همه در مورد یک آسیب‌پذیری در Azure، AWS، GCP هیاهو می‌شوند، اما هیچ‌کس واقعاً به فناوری‌هایی که همه این سرویس‌های ابری بزرگ را تشکیل می‌دهند، نگاه نمی‌کند – نرم‌افزارهای رایج و اصلی که اکنون بر هر ارائه‌دهنده بزرگ ابری تأثیر می‌گذارند». مهندس تحقیقات کارکنان ارشد با Tenable. “شما باید به دنبال بمب های امنیتی برنامه ها و مانند اجزای خدمات باشید، نه فقط خود سرویس ها.”

اثر چوب‌بر زبانی

محققان Tenable در ابتدا در حال بررسی یک موضوع امنیتی کاملاً جداگانه در یک سرویس ابری نامشخص بودند که متوجه شدند اتفاق غیرمنتظره ای در حال وقوع است. از جایی که آنها نشسته بودند، به نظر می رسید که آنها می توانند به طیف گسترده ای از معیارهای داخلی خود ارائه دهنده خدمات ابری (CSP) و نقاط پایانی گزارش دسترسی داشته باشند. از جمله مواردی از فلوئنت بیت بود.

این نشت داده های متقابل مستاجر از نقاط پایانی رابط برنامه نویسی برنامه مانیتورینگ فلوئنت بیت (API) ناشی می شود که به کاربران اجازه می دهد تا داده های داخلی آن را جستجو و نظارت کنند. با این حال، پس از مدتی آزمایش، کمی از داده های لو رفته تنها مقدمه ای برای یک مشکل عمیق تر بود.

برای یک نقطه پایانی خاص – /api/v1/traces – انواع داده‌هایی که به عنوان نام ورودی ارسال می‌شوند، قبل از تجزیه‌وتحلیل توسط برنامه به درستی تأیید نشده‌اند. بنابراین با ارسال مقادیر غیر رشته ای، یک مهاجم می تواند انواع مشکلات حافظه را در فلوئنت بیت ایجاد کند. محققان انواع مقادیر صحیح مثبت و منفی را امتحان کردند، به ویژه، تا با موفقیت خطاهایی را ایجاد کنند که در آن سرویس از کار می افتد و داده های بالقوه حساس را نشت می کند.

مهاجمان همچنین می توانند به طور بالقوه از همین ترفند برای به دست آوردن قابلیت های RCE در یک محیط هدفمند استفاده کنند. با این حال، تنبل خاطرنشان کرد، توسعه چنین اکسپلویتی مستلزم تلاش زیادی است که برای سیستم عامل و معماری خاص هدف سفارشی شده است.

در مورد آن چه باید کرد

این اشکال در نسخه های فلوئنت بیت 2.0.7 تا 3.0.3 وجود دارد. تحت CVE-2024-4323 ردیابی می‌شود و سایت‌های مختلف امتیازات CVSS «بحرانی» بیش از 9.5 از 10 را به آن اختصاص داده‌اند. پس از گزارش آن در 30 آوریل، نگه‌دارندگان فلوئنت بیت این سرویس را به‌روزرسانی کردند تا انواع داده‌ها را به درستی در آن مشکل تأیید کند. فیلد ورودی نقطه پایانی این اصلاح در 15 می در شعبه اصلی پروژه در GitHub اعمال شد.

به سازمان‌هایی که فلوئنت بیت در زیرساخت‌ها و محیط‌های خودشان مستقر شده‌اند توصیه می‌شود در اسرع وقت به‌روزرسانی شوند. از طرف دیگر، Tenable پیشنهاد می‌کند، مدیران می‌توانند تنظیمات مربوط به API نظارتی Fluent Bit را بررسی کنند تا مطمئن شوند که فقط کاربران و سرویس‌های مجاز می‌توانند آن را پرس و جو کنند – یا حتی هیچ کاربر یا سرویسی اصلاً وجود ندارد.

Source link