Rilevamento CVE-2022-33891: Nuova Vulnerabilità di Iniezione di Comandi nella Shell di Apache Spark
Indice:
Secondo l’ultimo report sull’Innovazione Detection as Code di SOC Prime, la rilevazione proattiva dello sfruttamento delle vulnerabilità rimane uno dei primi 3 casi d’uso della sicurezza nel 2021-2022, in risonanza con un numero crescente di vulnerabilità rivelate che interessano prodotti open-source. Il ricercatore di cybersecurity ha recentemente rivelato una nuova vulnerabilità in Apache Spark, un motore di analisi unificato open-source per l’elaborazione di dati su larga scala. La vulnerabilità appena scoperta è identificata come CVE-2022-33891 e il proof-of-concept (PoC) dell’exploit è già disponibile su GitHub. Il 18 luglio 2022, Apache Spark ha emesso il bollettino sulla sicurezza che dettaglia questa vulnerabilità, considerata critica. Il difetto rivelato riguarda le versioni di Apache Spark 3.0.3 e precedenti, consentendo agli attaccanti di eseguire un comando shell arbitrario.
Rileva i Tentativi di Sfruttamento di CVE-2022-22891
I difensori cyber sono invitati a sfruttare la piattaforma di SOC Prime e ottenere la dedicata regola Sigma per rilevare tempestivamente i tentativi di sfruttamento di una nuova vulnerabilità critica in Apache Spark. Questa nuova rilevazione per lo sfruttamento della vulnerabilità CVE-2022-33891 è stata creata dal nostro prolifico sviluppatore del Threat Bounty Program Onur Atali ed è già disponibile per gli utenti registrati di SOC Prime:
Vulnerabilità di Iniezione Comando Shell CVE-2022-33891 di Apache Spark
Ricercatori individuali esperti e aspiranti autori di contenuti di rilevazione che desiderano dare il proprio contributo alla difesa cyber collaborativa possono unirsi al Threat Bounty Program e condividere le loro regole Sigma e YARA con colleghi del settore mentre monetizzano il loro contributo.
La regola Sigma sopra menzionata è disponibile per oltre 18 SIEM, EDR e XDR leader del settore, comprese soluzioni cloud-native e on-premise. Per una migliore visibilità delle minacce, l’elemento di contenuto di rilevazione è allineato con il framework MITRE ATT&CK® indirizzando la tattica di Accesso Iniziale con la tecnica Exploit Public-Facing Application (T1190) come tecnica principale.
Tenersi al passo con il panorama delle minacce in continua evoluzione è una sfida pressante per tutti i difensori cybersicurezza, considerando i volumi crescenti di attacchi e la sofisticazione degli strumenti avversari. Inoltre, un numero crescente di exploit che impattano le soluzioni open-source espone migliaia di organizzazioni in tutto il mondo a minacce gravi. La piattaforma di SOC Prime fornisce una vasta raccolta di regole Sigma che affrontano il caso d’uso della “Rilevazione Proattiva degli Exploit” per aiutare le organizzazioni a difendersi efficacemente dalle minacce correlate. Clicca il pulsante Rileva & Caccia per accedere all’intera lista di algoritmi di rilevazione dedicati che possono essere istantaneamente convertiti in oltre 25 soluzioni SIEM, EDR, e XDR.
Cerchi il modo più veloce per cercare vulnerabilità di iniezione di comandi e ottenere immediatamente il contesto di minaccia rilevante? Naviga su SOC Prime per raggiungere tutte le informazioni contestuali pertinenti con riferimenti a MITRE ATT&CK, link CTI e altri metadati informativi con una performance di ricerca a velocità di sub-secondo — clicca semplicemente il pulsante Esplora Contesto di Minaccia sotto.
pulsante Rileva & Caccia pulsante Esplora Contesto di Minaccia
Analisi di CVE-2022-33891
Apache Spark fornisce API di alto livello in diversi linguaggi di programmazione, tra cui Scala, Java e Python. Inoltre, supporta una varietà di strumenti di alto livello, come Spark SQL per SQL e DataFrames, MLlib per machine learning e altro ancora.
Il difetto recentemente rivelato in Apache Spark (CVE-2022-33891) è stato segnalato da Kostya Kortchinsky, il ricercatore di cybersicurezza di Databricks. Questo difetto con un rating di gravità critica consente agli avversari di eseguire l’esecuzione di comandi shell arbitrari come utente Spark corrente. Il problema di sicurezza deriva dalla capacità dello Spark UI di abilitare le Active Control Lists (ACL) tramite l’opzione sparks.acls.enable . In caso di abilitazione delle ACL, un percorso nel codice HttpSecurityFilter fornisce la capacità di impersonare servendo un nome utente arbitrario. In caso di successo, un adversario può raggiungere una funzione di controllo dei permessi per lanciare un comando shell Unix. Questo alla fine risulterà in esecuzione di comandi shell arbitrari. Siccome il PoC dell’exploit è già disponibile tramite GitHub, si consiglia agli utenti Spark di aggiornare le loro istanze il prima possibile.
Il difetto impatta le versioni di Apache Spark 3.0.3 e precedenti, così come le versioni da 3.1.1 a 3.1.2 e da 3.2.0 a 3.2.1. Per garantire che le tue istanze siano protette da tentativi di sfruttamento, si raccomanda vivamente di aggiornare a Apache Spark 3.1.3, 3.2.2, o 3.3.0 rilascio di manutenzione.
Anticipa le nuove minacce e aumenta la tua postura di sicurezza informatica facendo leva su la piattaforma Detection as Code di SOC Prime alimentata dalla potenza della difesa cyber collaborativa. Accedi ad avvisi ad alta affidabilità e alle migliori interrogazioni di caccia alle minacce raccomandate dalla comunità globale di oltre 23.000 professionisti della cybersecurity applicando la lista Smoking Guns Sigma Rules che ogni team SOC dovrebbe avere a disposizione.
