Détection CVE-2022-33891 : Nouvelle vulnérabilité d’injection de commande dans le Shell d’Apache Spark
Table des matières :
Selon le dernier rapport d’innovation Detection as Code de SOC Prime, la détection proactive de l’exploitation des vulnérabilités reste l’un des trois principaux cas d’utilisation en matière de sécurité tout au long de 2021-2022, ce qui fait écho à un nombre croissant de vulnérabilités révélées affectant les produits open-source. Le chercheur en cybersécurité a récemment révélé une nouvelle vulnérabilité dans Apache Spark, un moteur d’analytique unifié open-source pour le traitement de données à grande échelle. La vulnérabilité nouvellement découverte est suivie sous le nom de CVE-2022-33891 avec le code d’exploitation (PoC) déjà disponible sur GitHub. Le 18 juillet 2022, Apache Spark a publié le bulletin de sécurité détaillant cette vulnérabilité, qui est considérée comme critique. La faille révélée affecte les versions 3.0.3 et antérieures d’Apache Spark, permettant aux attaquants d’exécuter une commande shell arbitraire.
Détecter les tentatives d’exploitation de CVE-2022-22891
Les cyber défenseurs sont invités à tirer parti de la plateforme de SOC Prime et à obtenir la règle Sigma dédiée pour détecter en temps opportun les tentatives d’exploitation d’une nouvelle vulnérabilité critique dans Apache Spark. Cette détection nouvellement publiée pour l’exploitation de la vulnérabilité CVE-2022-33891 a été réalisée par notre prolifique développeur du programme Threat Bounty Onur Atali et est déjà disponible pour les utilisateurs enregistrés de SOC Prime :
Vulnérabilité d’injection de commande shell CVE-2022-33891 d’Apache Spark
Les chercheurs individuels expérimentés et les auteurs de contenu de détection en herbe cherchant à apporter leur propre contribution à la défense cyber collaborative peuvent rejoindre le Threat Bounty Program et partager leurs règles Sigma et YARA avec leurs pairs de l’industrie tout en monétisant leur apport.
La règle Sigma susmentionnée est disponible pour plus de 18 SIEM, EDR et XDR, leaders de l’industrie, y compris des solutions natives dans le cloud et sur site. Pour une meilleure visibilité des menaces, l’élément de contenu de détection est aligné avec le cadre MITRE ATT&CK® abordant la tactique d’Accès Initial avec la technique Exploiter l’Application Exposée au Public (T1190) en tant que technique principale.
Suivre le paysage des menaces en constante évolution est un défi pressant pour tous les cyber défenseurs compte tenu de l’augmentation des volumes d’attaques et de la sophistication accrue des outils d’adversaires. De plus, un nombre croissant d’exploits affectant les solutions open-source expose des milliers d’organisations dans le monde entier à de graves menaces. La plateforme SOC Prime fournit une large collection de règles Sigma abordant le cas d’utilisation de la « Détection proactive d’exploitation » pour aider les organisations à se défendre efficacement contre les menaces associées. Cliquez sur le bouton Détecter & Chasser pour accéder à la liste complète des algorithmes de détection dédiés qui peuvent être instantanément convertis en plus de 25 solutions SIEM, EDR et XDR.
Vous cherchez le moyen le plus rapide de rechercher les vulnérabilités d’injection de commande et d’obtenir instantanément un contexte de menace pertinent ? Parcourez SOC Prime pour accéder à toutes les informations contextuelles pertinentes avec les références MITRE ATT&CK, les liens CTI et d’autres métadonnées perspicaces avec une performance de recherche en moins d’une seconde – cliquez simplement sur le bouton Explorer le contexte des menaces ci-dessous.
bouton Détecter & Chasser bouton Explorer le contexte des menaces
Analyse de CVE-2022-33891
Apache Spark fournit des API de haut niveau dans plusieurs langages de programmation, y compris Scala, Java et Python. En outre, il prend en charge une variété d’outils de haut niveau, tels que Spark SQL pour SQL et DataFrames, MLlib pour le machine learning, et plus encore.
La faille récemment révélée dans Apache Spark (CVE-2022-33891) a été signalée par Kostya Kortchinsky, le chercheur en cybersécurité de Databricks. Cette faille avec une cote de gravité critique permet aux adversaires d’effectuer l’exécution de commandes shell arbitraires en tant qu’utilisateur Spark actuel. Le problème de sécurité provient de la capacité de l’interface Spark à activer les listes de contrôle d’accès (ACL) via l’option sparks.acls.enable . Si les ACL sont activées, un chemin de code HttpSecurityFilter fournit la capacité d’usurper en servant un nom d’utilisateur arbitraire. En cas de succès, un adversaire peut atteindre une fonction de vérification des permissions pour lancer une commande shell Unix. Cela entraînera finalement une exécution de commande shell arbitraire. Étant donné que le exploit PoC est déjà disponible via GitHub, les utilisateurs de Spark sont invités à mettre à jour leurs instances dès que possible.
Le problème affecte la version 3.0.3 d’Apache Spark et antérieures, ainsi que 3.1.1 à 3.1.2 et 3.2.0 à 3.2.1. Pour vous assurer que vos instances sont protégées contre les tentatives d’exploitation possibles, il est fortement recommandé de passer à Apache Spark 3.1.3, 3.2.2 ou à la version de maintenance 3.3.0.
Restez en avance sur les menaces émergentes et augmentez votre posture de cybersécurité en tirant parti de la plateforme Detection as Code de SOC Prime alimentée par le pouvoir de la défense cyber collaborative. Accédez à des alertes de haute fidélité et à des requêtes de chasse aux menaces recommandées par la communauté mondiale de plus de 23 000 professionnels de la cybersécurité en appliquant la liste des règles Sigma Smoking Guns que toute équipe SOC devrait avoir à sa disposition.
