关键的 Netflix Genie 漏洞使大数据编排面临远程代码执行 (RCE) 风险

Netflix Genie引擎中的关键漏洞

关键要点

  • Netflix的Genie作业编排引擎中发现了一个严重安全漏洞,可能允许远程攻击者在受影响系统上执行任意代码。
  • 漏洞编号为,在CVSS评分体系中获得了9.9的高分。
  • 受影响的版本为Genie OSS 4.3.18之前的版本,Netflix已发布修复版本,建议用户升级。
  • 此漏洞涉及到路径遍历攻击,攻击者可以利用这一点上传恶意文件。

Netflix的Genie作业编排引擎(GenieOSS)近日发现了一个严重的安全漏洞,使得远程攻击者能够在运行受影响版本的系统上执行任意代码。该漏洞编号为,在CVSS漏洞严重性评分上接近满分,达到9.9。该漏洞主要影响那些自行运行GenieOSS的组织,利用底层文件系统来上传和存储用户提交的文件附加内容。

Genie的功能使组织能够编排、运行和监控不同框架中的各种大数据作业和工作流,同时还能管理分布式计算集群上的元数据和配置。它为用户提供了访问大数据环境(如Hadoop、Spark、Pig、Hive、Sqoop和Presto)所需计算资源的应用程序编程接口(APIs)。因此,它为组织提供了大量的内部数据和资源访问。

Contrast Security的研究人员最近发现了这一漏洞并报告给Netflix。根据本周提交的报告,该安全供应商指出,此漏洞允许在文件上传过程中进行远程代码执行(RCE)。

如果攻击成功,攻击者能欺骗Web应用程序读取并暴露应用程序或Web服务器文档根目录外的文件内容,包括后端系统的凭证、应用程序代码和数据,甚至是敏感的操作系统文件。

Netflix已在内部使用Genie超过十年,每天在其PB级环境中运行成千上万的Hadoop作业。该公司于2013年将该技术开源。

漏洞的严重性分析

CVE-2024-4701漏洞出现在GenieOSS版本4.3.18之前。Netflix已在新版本中修复了此问题,并建议组织立即升级,以降低风险。Netflix评估该漏洞相对容易利用,无需特殊用户权限或交互。

“不在底层文件系统上本地存储附件的Genie用户对此问题不易受影响。”。

Contrast Security解释称,该漏洞涉及到一个Genie API,它允许用户通过SparkSQL提交SQL查询。研究人员发现,文件名参数易受到路径遍历攻击。因此,攻击者可以构造特定的文件名,上传至意料之外的位置。

"成功攻击将允许攻击者控制底层服务器,并可能访问/提取Genie操作的大数据集,”Contrast的工作人员应用安全研究员Joseph Beeton表示。他建议那些无法立即更新到修复版本的组织限制对Genie应用程序的网络访问,确保其对外部互联网不可访问。

Netflix确定该问题与API接受用户提供的文件名有关,并在将文件写入磁盘时使用该文件名。由于该文件名是用户控制的,恶意行为者可以操控文件名以突破默认附件存储路径,执行路径遍历。

攻击者可以利用此漏洞,将任何用户指定名称和文件内容的文件上传到系统上任何位置,从而实现远程代码执行。

路径遍历漏洞是一种比较常见且危险的问题。美国联邦调查局(FBI)近期就这一漏洞类别发布了,指出此类攻击的活跃程度极高。

FBI的建议中提到,技术制造商未能将用户提供的内容视为潜在恶意,从而未能充分保护客户。

漏洞实例描述
ConnectWise ScreenConnect (CVE-2024-1708)被多家初始访问经纪人和威胁团体利用发布勒索软件。
Cisco AppDynamics Controller (CVE-2024-20345)在医疗保健和其他关键基础设施组织遭到攻击。

无论如何,组织们应当采取措施以确认其产品是否经过审查,以防潜在的目录遍历问题,并立即采取措施以减轻此类问题的影响。

Leave a Reply

Required fields are marked *