Un grupo de especialistas en seguridad de la información reveló recientemente el hallazgo de una vulnerabilidad en Apache Kylin, el motor de análisis distribuido de código abierto diseñado para proporcionar una interfaz SQL y análisis multidimensional en Hadoop y Alluxio que admiten conjuntos de datos extremadamente grandes.
Acorde al reporte, la vulnerabilidad, identificada como CVE-2020-1956, permitiría la ejecución de código remoto en los sistemas vulnerables.
Al parecer existen algunas API relajantes en Kylin, que pueden conectar los comandos del sistema operativo con la cadena ingresada por el usuario. Debido a que la entrada del usuario no es verificada de forma adecuada, los actores de amenazas podrían ejecutar cualquier comando del sistema sin verificación alguna.
Los expertos en seguridad de la información también mencionaron que se reveló una prueba de concepto para la vulnerabilidad, además se solicitó a los usuarios de implementaciones afectadas tomar las medidas requeridas para proteger sus sistemas. Según el reporte, las versiones afectadas son:
- Kylin 2.3.0 – 2.3.2
- Kylin 2.4.0 – 2.4.1
- Kylin 2.5.0 – 2.5.2
- Kylin 2.6.0 – 2.6.5
- Kylin 3.0.0-alpha
- Kylin 3.0.0-alpha2
- Kylin 3.0.0-beta
- Kylin 3.0.0 – 3.0.1
Por otra parte, las versiones Kylin 2.6.6 y Kylin 3.0.2 no se ven afectadas por la vulnerabilidad.
Para corregir la falla, los desarrolladores de Apache Kylin corrigieron la falla en las más recientes versiones del software (2.6.6 y 3.0.2). Se solicita encarecidamente a los usuarios actualizar a versiones corregidas lo antes posible para mitigar el riesgo de explotación.
En caso de que los usuarios no puedan instalar las actualizaciones, los usuarios podrán configurar kylin.tool.auto-migrate-cube.enabled como false, lo que inhabilitará la ejecución de comandos remotos, mencionan los expertos en seguridad de la información.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
