CVE-2022-33891 Erkennung: Neue Apache Spark Shell-Befehlsinjektions-Sicherheitslücke
Inhaltsverzeichnis:
Laut dem neuesten Detective as Code Innovation Bericht von SOC Prime, bleibt die proaktive Erkennung von Schwachstellenausnutzung eines der drei wichtigsten Sicherheitsanwendungsfälle in den Jahren 2021-2022, was mit einer wachsenden Anzahl enthüllter Schwachstellen in Open-Source-Produkten übereinstimmt. Der Cybersicherheitsforscher hat kürzlich eine neue Schwachstelle in Apache Spark aufgedeckt, einer Open-Source-Analyse-Engine für groß angelegte Datenverarbeitung. Die neu entdeckte Schwachstelle wird als CVE-2022-33891 verfolgt, wobei der Proof-of-Concept (PoC)-Exploit bereits auf GitHub verfügbar ist. Am 18. Juli 2022 hat Apache Spark das Sicherheitsbulletin verkündet, das diese Schwachstelle detailliert beschreibt, die als kritisch angesehen wird. Die aufgedeckte Lücke betrifft Apache Spark Versionen 3.0.3 und früher und ermöglicht Angreifern die Ausführung beliebiger Shell-Befehle.
Erkennung von Ausnutzungsversuchen von CVE-2022-22891
Cybersicherheitsverteidiger können die Plattform von SOC Prime nutzen und die dedizierte Sigma-Regel erhalten, um rechtzeitig Ausnutzungsversuche einer neuen kritischen Schwachstelle in Apache Spark zu erkennen. Diese neu veröffentlichte Erkennung für die Ausnutzung der CVE-2022-33891-Schwachstelle wurde von unserem produktiven Entwickler des Threat Bounty Program Onur Atali erstellt und ist bereits für registrierte SOC Prime-Benutzer verfügbar:
CVE-2022-33891 Apache Spark Shell Command Injection Schwachstelle
Erfahrene individuelle Forscher und angehende Erstellungsautoren, die ihren eigenen Beitrag zur kollaborativen Cyberabwehr leisten möchten, können dem Threat Bounty Program beitreten und ihre Sigma- und YARA-Regeln mit Branchenkollegen teilen und dabei ihre Einblicke monetarisieren.
Die oben erwähnte Sigma-Regel ist für mehr als 18 branchenführende SIEMs, EDRs und XDRs verfügbar, einschließlich cloud-nativer und On-Premise-Lösungen. Für verbesserte Bedrohungseinsicht ist der Erkennungsinhalt mit dem MITRE ATT&CK®-Framework ausgerichtet, das die Taktik des Initialen Zugriffs mit der primären Technik Exploit Public-Facing Application (T1190) anspricht.
Mit der sich ständig weiterentwickelnden Bedrohungslandschaft Schritt zu halten, ist eine drängende Herausforderung für alle Cybersicherheitsverteidiger angesichts der steigenden Angriffsvolumina und der höheren Raffinesse von Angreiferwerkzeugen. Zudem gefährdet die zunehmende Anzahl von Exploits, die Open-Source-Lösungen betreffen, tausende von Organisationen weltweit vor schwerwiegenden Bedrohungen. Die SOC Prime-Plattform bietet eine breite Sammlung von Sigma-Regeln an, die den Anwendungsfall der „Proaktiven Exploiterkennung“ adressieren, um Organisationen effektiv gegen verwandte Bedrohungen zu verteidigen. Klicken Sie auf die Erkennen & Jagen Taste, um die gesamte Liste der dedizierten Erkennungsalgorithmen einzusehen, die sofort in mehr als 25 SIEM-, EDR- und XDR-Lösungen umgewandelt werden können.
Suchen Sie nach dem schnellsten Weg, um Schwachstellen in der Befehlseinschleusung zu finden und relevanten Bedrohungskontext sofort zu erhalten? Durchstöbern Sie SOC Prime, um alle relevanten kontextuellen Informationen mit MITRE ATT&CK-Referenzen, CTI-Links und mehr aufschlussreichen Metadaten mit einer Durchsuchungsleistung unter einer Sekunde zu erreichen – klicken Sie einfach auf die Erkunden Sie Bedrohungskontext Taste unten.
Erkennen & Jagen Erkunden Sie Bedrohungskontext
Analyse von CVE-2022-33891
Apache Spark bietet hochrangige APIs in mehreren Programmiersprachen, einschließlich Scala, Java und Python. Darüber hinaus unterstützt es eine Vielzahl von hochrangigen Tools, wie Spark SQL für SQL und DataFrames, MLlib für maschinelles Lernen und mehr.
Die kürzlich aufgedeckte Schwachstelle in Apache Spark (CVE-2022-33891) wurde von Kostya Kortchinsky, einem Cybersicherheitsforscher von Databricks, gemeldet. Diese Schwachstelle mit einer kritischen Schwerebewertung ermöglicht es Angreifern, als aktueller Spark-Benutzer beliebige Shell-Befehle auszuführen. Das Sicherheitsproblem ergibt sich aus der Fähigkeit der Spark-Benutzeroberfläche, Active Control Lists (ACLs) über die Option sparks.acls.enable einzuschalten. Sollten ACLs aktiviert sein, bietet ein HttpSecurityFilter-Codepfad die Möglichkeit, eine beliebige Benutzernamenimitation durchzuführen. Im Erfolgsfall kann ein Angreifer eine Berechtigungsprüfungsfunktion erreichen, um einen Unix-Shell-Befehl zu starten. Dies führt letztendlich zur Ausführung beliebiger Shell-Befehle. Da der PoC-Exploit bereits über GitHub verfügbar ist, wird Spark-Benutzern dringend geraten, ihre Instanzen so schnell wie möglich zu aktualisieren.
Der Fehler betrifft die Apache Spark Version 3.0.3 und früher sowie 3.1.1 bis 3.1.2 und 3.2.0 bis 3.2.1. Um sicherzustellen, dass Ihre Instanzen vor möglichen Ausnutzungsversuchen geschützt sind, wird dringend empfohlen, auf Apache Spark 3.1.3, 3.2.2 oder 3.3.0-Wartungsversion zu aktualisieren.
Bleiben Sie den aufkommenden Bedrohungen voraus und verbessern Sie Ihre Cybersicherheitslage, indem Sie die Detection as Code-Plattform von SOC Prime nutzen, die von der Kraft der kollaborativen Cyberabwehr angetrieben wird. Erhalten Sie Zugriff auf hochpräzise Warnungen und erstklassige Bedrohungsjagd-Abfragen, die von der globalen Community von über 23.000 Cybersicherheitsexperten empfohlen werden, indem Sie die Smoking Guns Sigma-Regelliste anwenden, die jedes SOC-Team zur Verfügung haben sollte.
