Wouter Hoeffnagel - 18 februari 2022

Kwetsbaarheid in Apache Cassandra maakt op afstand uitvoeren van de code mogelijk

Kwetsbaarheid in Apache Cassandra maakt op afstand uitvoeren van de code mogelijk image

Een kwetsbaarheid in Apache Cassandra geeft aanvallers de mogelijkheid op afstand code uit te voeren. Het beveiligingsprobleem is relatief eenvoudig uit te buiten, waarschuwen beveiligingsonderzoekers van JFrog.

Het lek is geïdentificeerd als CVE-2021-44521 en krijgt een score van 8,4 toegewezen. Cassandra is een populaire schaalbare distributed NoSQL-database. Het maakt het mogelijk grote hoeveelheden data op standaardservers af te handelen. Diverse grote bedrijven maken gebruik van Apache Cassandra. De technologie is onder meer voor DevOps en cloud-native ontwikkeling populair.

Kwetsbaarheid

Het beveiligingsprobleem zit in de Nashorn engine in de Runtime-omgeving van de technologie. De onderzoekers wijzen erop dat Nashorn onvertrouwde code kan accepteren. Diensten die dergelijk gedrag toestaan, moeten commando's die in Nashorn worden uitgevoerd altijd in een sandbox worden uitgevoerd. Cassandra maakt hiervoor gebruik van een op maat gemaakte sandbox, die twee methodes inzet om dit tegen te gaan. Het gaat hierbij om een filtermechanisme op basis van een whitelist en blacklist en het gebruik van de Java Security Manager voor het afdwingen van permissies van de uitgevoerde code.

Bij het analyseren van deze maatregelen ontdekten onderzoekers van JFrog echter dat een combinatie van specifieke configuratie-opties het mogelijk maakt de Nashorn-engine te misbruiken, uit de sandbox te breken en op afstand code uit te voeren.

Een patch die het probleem verhelpt is inmiddels beschikbaar gesteld door de Apache Foundation. De onderzoekers van JFrog adviseren beheerders deze update zo snel mogelijk te installeren.

Copaco | BW 25 maart tm 31 maart 2024 Trend Micro BW BN week 10-11-13-14-2024
Copaco | BW 25 maart tm 31 maart 2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!