Detecção do CVE-2022-33891: Nova Vulnerabilidade de Injeção de Comando no Shell do Apache Spark
Índice:
De acordo com o mais recente relatório de Inovação em Detecção como Código da SOC Prime, a detecção proativa da exploração de vulnerabilidades continua a ser um dos 3 principais casos de uso de segurança ao longo de 2021-2022, o que ressoa com um número crescente de vulnerabilidades reveladas que afetam produtos de código aberto. O pesquisador de cibersegurança revelou recentemente uma nova vulnerabilidade no Apache Spark, um mecanismo de análise unificado de código aberto para processamento de dados em larga escala. A vulnerabilidade recém-descoberta está sendo rastreada como CVE-2022-33891, com o exploit de prova de conceito (PoC) já disponível no GitHub. Em 18 de julho de 2022, o Apache Spark emitiu o boletim de segurança detalhando esta vulnerabilidade, que é considerada crítica. A falha revelada afeta as versões 3.0.3 e anteriores do Apache Spark, permitindo que atacantes executem um comando shell arbitrário.
Detectar Tentativas de Exploração do CVE-2022-22891
Os defensores cibernéticos são bem-vindos a aproveitar a plataforma da SOC Prime e obter a regra Sigma dedicada para detectar em tempo hábil tentativas de exploração de uma nova vulnerabilidade crítica no Apache Spark. Esta detecção recém-lançada para exploração da vulnerabilidade CVE-2022-33891 foi criada por nosso prolífico desenvolvedor do Programa Threat Bounty Onur Atali e já está disponível para usuários registrados da SOC Prime:
Vulnerabilidade de Injeção de Comando Shell CVE-2022-33891 no Apache Spark
Pesquisadores individuais experientes e aspirantes a autores de conteúdo de detecção que desejam fazer sua própria contribuição para a defesa cibernética colaborativa podem se juntar ao Programa Threat Bounty e compartilhar suas regras Sigma e YARA com pares do setor enquanto monetizam suas contribuições.
A regra Sigma mencionada acima está disponível para mais de 18 SIEMs, EDRs e XDRs líderes de mercado, incluindo soluções nativas em nuvem e no local. Para melhorar a visibilidade de ameaças, o item de conteúdo de detecção está alinhado com o framework MITRE ATT&CK® abordando a tática de Acesso Inicial com a técnica de Aplicação Voltada para o Público Exploits (T1190) como a técnica principal.
Acompanhar o cenário de ameaças em constante evolução é um desafio premente para todos os defensores cibernéticos, considerando o aumento do volume de ataques e a sofisticação aprimorada das ferramentas dos adversários. Além disso, um número crescente de exploits que impactam soluções de código aberto expõe milhares de organizações em todo o mundo a ameaças severas. A plataforma da SOC Prime fornece uma ampla coleção de regras Sigma abordando o caso de uso de “Detecção Proativa de Exploits” para ajudar as organizações a se defenderem efetivamente contra ameaças relacionadas. Clique no botão Detectar & Caçar para acessar a lista completa de algoritmos de detecção dedicados que podem ser instantaneamente convertidos para mais de 25 soluções SIEM, EDR e XDR.
Procurando a maneira mais rápida de buscar por vulnerabilidades de injeção de comando e ganhar instantaneamente contexto relevante de ameaças? Explore a SOC Prime para alcançar todas as informações contextuais relevantes com referências MITRE ATT&CK, links CTI e mais metadados informativos com desempenho de busca em subsegundos — basta clicar no botão Explorar Contexto de Ameaças abaixo.
Detectar & Caçar Explorar Contexto de Ameaças
Análise do CVE-2022-33891
O Apache Spark fornece APIs de alto nível em várias linguagens de programação, incluindo Scala, Java e Python. Além disso, ele suporta uma variedade de ferramentas de alto nível, como o Spark SQL para SQL e DataFrames, MLlib para aprendizado de máquina, e mais.
A falha recentemente revelada no Apache Spark (CVE-2022-33891) foi relatada por Kostya Kortchinsky, o pesquisador de cibersegurança da Databricks. Esta falha com classificação de severidade crítica permite que adversários executem comandos shell arbitrários como um usuário atual do Spark. A questão de segurança deriva da capacidade da interface do Spark de habilitar Listas de Controle Ativo (ACLs) por meio da opção sparks.acls.enable . Caso as ACLs sejam ativadas, um caminho de código HttpSecurityFilter fornece a capacidade de se passar por alguém ao servir um nome de usuário arbitrário. Em caso de sucesso, um adversário pode alcançar uma função de verificação de permissão para lançar um comando shell Unix. Isso eventualmente resultará na execução de comandos shell arbitrários. Como o exploit PoC já está disponível no GitHub, os usuários do Spark são instados a atualizar suas instâncias o mais rápido possível.
A falha impacta a versão 3.0.3 e anteriores do Apache Spark, bem como de 3.1.1 a 3.1.2 e de 3.2.0 a 3.2.1. Para garantir que suas instâncias estejam protegidas de possíveis tentativas de exploração, é altamente recomendado atualizar para a versão de manutenção do Apache Spark 3.1.3, 3.2.2 ou 3.3.0.
Mantenha-se à frente das ameaças emergentes e aumente sua postura de cibersegurança aproveitando a plataforma de Detecção como Código da SOC Prime impulsionada pelo poder da defesa cibernética colaborativa. Obtenha acesso a alertas de alta fidelidade e consultas de caça a ameaças recomendadas pela comunidade global de mais de 23.000 profissionais de cibersegurança aplicando a lista de Regras Sigma Smoking Guns que qualquer equipe de SOC deve ter à sua disposição.
