Detección de CVE-2022-33891: Nueva Vulnerabilidad de Inyección de Comandos en Apache Spark Shell
Tabla de contenidos:
Según el último informe de Innovación en Detección como Código de SOC Prime, la detección proactiva de la explotación de vulnerabilidades sigue siendo uno de los 3 principales casos de uso de seguridad durante 2021-2022, lo que resuena con un creciente número de vulnerabilidades reveladas que afectan a productos de código abierto. El investigador de ciberseguridad ha revelado recientemente una nueva vulnerabilidad en Apache Spark, un motor de análisis unificado de código abierto para el procesamiento de datos a gran escala. La vulnerabilidad recién descubierta se rastrea como CVE-2022-33891, con el exploit de prueba de concepto (PoC) ya disponible en GitHub. El 18 de julio de 2022, Apache Spark emitió el boletín de seguridad detallando esta vulnerabilidad, que se considera crítica. La falla revelada afecta a las versiones 3.0.3 y anteriores de Apache Spark, lo que permite a los atacantes ejecutar un comando de shell arbitrario.
Detectar Intentos de Explotación de CVE-2022-22891
Los defensores cibernéticos pueden aprovechar la plataforma de SOC Prime y obtener la regla Sigma dedicada para detectar oportunamente intentos de explotación de una nueva vulnerabilidad crítica en Apache Spark. Esta nueva detección lanzada para la explotación de la vulnerabilidad CVE-2022-33891 ha sido creada por nuestro prolífico desarrollador del Programa de Recompensas por Amenazas Onur Atali y ya está disponible para los usuarios registrados de SOC Prime:
CVE-2022-33891 Vulnerabilidad de Inyección de Comandos de Shell en Apache Spark
Investigadores individuales experimentados y autores aspirantes de contenido de detección que desean hacer su propia contribución a la defensa cibernética colaborativa pueden unirse al Programa de Recompensas por Amenazas y compartir sus reglas Sigma y YARA con colegas de la industria mientras monetizan su aporte.
La regla Sigma mencionada anteriormente está disponible para más de 18 SIEM, EDR y XDR líderes en la industria, incluidas soluciones nativas en la nube y locales. Para una mejor visibilidad de amenazas, el ítem de contenido de detección está alineado con el marco MITRE ATT&CK® abordando la táctica de Acceso Inicial con la técnica de Explotar Aplicación Pública (T1190) como técnica principal.
Mantenerse al tanto del panorama de amenazas en constante evolución es un desafío urgente para todos los defensores cibernéticos, considerando el creciente volumen de ataques y la sofisticación mejorada de las herramientas de los adversarios. Además, un número creciente de exploits que impactan soluciones de código abierto expone a miles de organizaciones en todo el mundo a amenazas graves. La plataforma de SOC Prime proporciona una amplia colección de reglas Sigma que abordan el caso de uso de “Detección Proactiva de Explotación” para ayudar a las organizaciones a defenderse eficazmente contra amenazas relacionadas. Haz clic en el botón Detectar & Cazar para acceder a la lista completa de algoritmos de detección dedicados que pueden convertirse instantáneamente a más de 25 soluciones SIEM, EDR y XDR.
¿Buscas la manera más rápida de buscar vulnerabilidades de inyección de comandos y obtener al instante el contexto de amenaza relevante? Navega por SOC Prime para acceder a toda la información contextual relevante con referencias de MITRE ATT&CK, enlaces CTI y más metadatos interesantes a un rendimiento de búsqueda subsegundo; simplemente haz clic en el botón Explorar Contexto de Amenaza a continuación.
Detectar & Cazar Explorar Contexto de Amenaza
Análisis de CVE-2022-33891
Apache Spark proporciona APIs de alto nivel en múltiples lenguajes de programación, incluidos Scala, Java y Python. Además, soporta una variedad de herramientas de alto nivel, como Spark SQL para SQL y DataFrames, MLlib para aprendizaje automático, y más.
La falla recientemente revelada en Apache Spark (CVE-2022-33891) fue reportada por Kostya Kortchinsky, el investigador de ciberseguridad de Databricks. Esta falla con una calificación de severidad crítica permite a los adversarios ejecutar comandos de shell arbitrarios como un usuario Spark actual. El problema de seguridad se origina en la capacidad de la interfaz de usuario de Spark para habilitar Listas de Control Activo (ACLs) a través de la opción sparks.acls.enable . En caso de que las ACLs estén habilitadas, un camino de código HttpSecurityFilter proporciona la capacidad de hacerse pasar por un nombre de usuario arbitrario. En caso de éxito, un adversario puede alcanzar una función de verificación de permisos para lanzar un comando de shell Unix. Esto resultará en la ejecución de comandos de shell arbitrarios. Dado que el exploit PoC ya está disponible a través de GitHub, se insta a los usuarios de Spark a actualizar sus instancias lo antes posible.
El fallo afecta a las versiones 3.0.3 y anteriores de Apache Spark, así como a las versiones de 3.1.1 a 3.1.2 y de 3.2.0 a 3.2.1. Para asegurar que tus instancias estén protegidas contra posibles intentos de explotación, se recomienda encarecidamente actualizar a la versión de mantenimiento de Apache Spark 3.1.3, 3.2.2 o 3.3.0.
Mantente a la vanguardia de las amenazas emergentes y aumenta tu postura de ciberseguridad aprovechando la plataforma Detección como Código de SOC Prime impulsada por el poder de la defensa cibernética colaborativa. Obtén acceso a alertas de alta fidelidad y a las principales consultas de caza de amenazas recomendadas por la comunidad global de más de 23,000 profesionales de ciberseguridad aplicando la lista Reglas Sigma Smoking Guns que cualquier equipo de SOC debería tener a su disposición.
