Drei neue Sicherheitslücken wurden in den Azure HDInsight-Diensten für Apache Hadoop, Kafka und Spark entdeckt. Diese Schwachstellen könnten zur Erlangung von Privilegien und zu einem Denial-of-Service-Zustand durch regelmäßige Ausdrücke (ReDoS) ausgenutzt werden. Nach Angaben des Orca Security Forschers Lidor Ben Shitrit betreffen die neuen Schwachstellen jeden authentifizierten Benutzer der Azure HDInsight-Dienste wie Apache Ambari und Apache Oozie.
Die Liste der Schwachstellen lautet wie folgt:
CVE-2023-36419 (CVSS-Score: 8,8) – Azure HDInsight Apache Oozie Workflow Scheduler XML External Entity (XXE) Injection Elevation of Privilege Schwachstelle
CVE-2023-38156 (CVSS-Score: 7,2) – Azure HDInsight Apache Ambari Java Database Connectivity (JDBC) Injection Elevation of Privilege Schwachstelle
Azure HDInsight Apache Oozie Regular Expression Denial-of-Service (ReDoS) Schwachstelle (keine CVE)
Die beiden Schwachstellen zur Privilege Escalation könnten von einem authentifizierten Angreifer mit Zugang zu einem HDI-Cluster ausgenutzt werden, um eine speziell gestaltete Netzwerkanfrage zu senden und Administratorrechte für den Cluster zu erlangen.
Die XXE-Schwachstelle ist das Resultat einer fehlenden Prüfung der Benutzereingabe, was das Lesen von Dateien auf Root-Ebene und eine Privilegierungs-Eskalation ermöglicht, während die JDBC-Injection-Schwachstelle dazu genutzt werden könnte, eine Reverse-Shell als Root zu erhalten.
Die ReDoS-Schwachstelle bei Apache Oozie wurde durch eine fehlende korrekte Eingabevalidierung und Einhaltung der Bedingungen verursacht und ermöglichte es einem Angreifer, eine große Anzahl von Aktions-IDs anzufordern und eine intensive Loop-Operation zu verursachen, was zu einem Denial-of-Service (DoS) führt, erklärte Ben Shitrit.
Eine erfolgreiche Ausnutzung der ReDoS-Schwachstelle könnte zu einer Beeinträchtigung des Betriebs des Systems, zu Leistungsbeeinträchtigungen und sowohl zu einer Beeinträchtigung der Verfügbarkeit als auch der Zuverlässigkeit des Dienstes führen.
Microsoft hat nach verantwortungsvoller Offenlegung Updates veröffentlicht, die die Schwachstellen beheben.
Diese Entwicklung erfolgt fast fünf Monate, nachdem Orca eine Sammlung von acht Schwachstellen in dem Open-Source-Analyse-Service beschrieben hat, die für den Zugriff auf Daten, das Übernehmen von Sitzungen und das Ausliefern von schädlichem Code ausgenutzt werden können.
Im Dezember 2023 wies Orca auch auf ein „potenzielles Missbrauchsrisiko“ hin, das Google Cloud Dataproc-Cluster betrifft, die eine fehlende Sicherheitskontrolle in den Web-Schnittstellen von Apache Hadoop sowie Standard-Einstellungen ausnutzen, um Ressourcen zu erstellen und auf beliebige Daten im Apache Hadoop Distributed File System (HDFS) ohne jegliche Authentifizierung zuzugreifen.