A vulnerabilidade pode ser aproveitada para vazar dados de entrada de ação confidenciais durante execuções subseqüentes.
Os pesquisadores da PureSec descobriram uma vulnerabilidade de fragilidade de mutabilidade de ação no Apache OpenWhisk que poderia permitir que um invasor remoto sobrescrevesse o código-fonte da ação sendo executada e influenciasse as execuções subsequentes da mesma função no mesmo contêiner.
OpenWhisk é um cloud-first serviço de programação baseada em eventos distribuído, sem servidor, plataforma de nuvem de código aberto que executa funções em resposta a eventos em qualquer escala que fornece um modelo de programação para carregar manipuladores de eventos para um serviço em nuvem e registrar os manipuladores para responder ao vários eventos, de acordo com o aviso de segurança .
A vulnerabilidade pode ser aproveitada para vazar dados de entrada de ação sensíveis durante execuções subseqüentes, potencialmente de usuários finais diferentes e para executar lógica não autorizada em paralelo à lógica original da ação em execuções subseqüentes, potencialmente de usuários finais diferentes.
“Atualmente, o Serverless está na vanguarda da computação baseada em nuvem e, embora as opções hospedadas do OpenWhisk, como o IBM Cloud Functions, permitam que as empresas compartilhem algumas das responsabilidades de segurança com o provedor, essa última vulnerabilidade com o OpenWhisk demonstra uma necessidade ainda maior de defesa. em profundidade ”, disse Matt Chiodi, vice-presidente de segurança em nuvem da RedLock.
"Com o serverless, a maior parte da plataforma subjacente é obscurecida pelo usuário e isso é um ponto positivo importante do ponto de vista da segurança, já que isso significa que não há mais patches no sistema operacional."
Chiodi acrescentou que as equipes de segurança agora precisam mudar seu foco para permissões, bibliotecas de aplicativos e segurança de dados e que qualquer tipo de divulgação de informações relacionadas a esse tipo de vulnerabilidade pode ser mitigada, até certo ponto, limitando as permissões concedidas ao comprometimento. função.
James Lerud, chefe da equipe de pesquisa comportamental da Verodin, não ficou muito surpreso com a vulnerabilidade, pois o OpenWhisk é um projeto relativamente novo e está em desenvolvimento ativo.
“Esses tipos de descobertas são essenciais para o desenvolvimento saudável de projetos opensource. Felizmente, a vulnerabilidade foi divulgada com responsabilidade pela equipe da Puresec e rapidamente corrigida pelos colaboradores da OpenWhisk ”, disse Lerud. “Qualquer um que esteja considerando usar uma arquitetura 'sem servidor' deve entender e aceitar totalmente as preocupações de segurança envolvidas; muitos controles tradicionais, como um IDS / IPS, podem não ser aplicáveis a essa arquitetura. ”
Notificou o Apache da vulnerabilidade do OpenWhisk e forneceu as recomendações de recomendação e correção de código para o projeto. Como resultado, 2 CVEs foram atribuídos a essa fraqueza: CVE-2018-11756 e CVE-2018-11757.
O Apache também lançou recentemente atualizações de segurança para o Apache Tomcat para resolver vulnerabilidades que podem permitir que um invasor remoto possa explorar uma dessas vulnerabilidades para obter informações confidenciais.
As versões do Apache Tomcat 9.0.0.M9 a 9.0.9, 8.5.0 a 8.5.31, 8.0.0.RC1 a 8.0.51 e 7.0.28 a 7.0.86 foram afetadas. Essas atualizações já foram abordadas e os funcionários recomendam que os usuários apliquem as atualizações o mais rápido possível.
FONTE:SCMAGAZINE
As versões do Apache Tomcat 9.0.0.M9 a 9.0.9, 8.5.0 a 8.5.31, 8.0.0.RC1 a 8.0.51 e 7.0.28 a 7.0.86 foram afetadas. Essas atualizações já foram abordadas e os funcionários recomendam que os usuários apliquem as atualizações o mais rápido possível.
Comentários
Postar um comentário