CVE-2021-44521: Vulnerabilidad crítica de ejecución remota de código en Apache Cassandra

Esta semana se publicó un informe técnico completo sobre una vulnerabilidad crítica de ejecución remota de código (RCE) recientemente corregida en Apache Cassandra, una base de datos NoSQL distribuida que ofrece alta escalabilidad muy popular entre compañías como Cisco, Netflix, Reddit, Twitter, Urban Airship, OpenX y más.

Identificada como CVE-2021-44521, la vulnerabilidad solo afecta las configuraciones no predeterminadas de la base de datos, lo que podría llevar al compromiso completo del sistema afectado. Esta vulnerabilidad recibió un puntaje de 8.4/10 según el Common Vulnerability Scoring System (CVSS), según los especialistas de Jfrog.

La falla solo se presenta si la funcionalidad para crear funciones definidas por el usuario (UDF) para el procesamiento personalizado de datos está habilitada en Cassandra, y solo puede ser abusada si el atacante tiene suficientes permisos para crear estas UDF. Esta no es una configuración predeterminada y se ha documentado como insegura anteriormente.

La función UDF en Cassandra se pueden escribir en Java y JavaScript, y este último utiliza el motor Nashorn, por lo que no se garantiza que sea seguro al aceptar código que no es de confianza y lo mejor sería ejecutarlo en un entorno seguro.

Si bien Caszandra implementa un entorno limitado para restringir el código UDF, al habilitar algunas configuraciones opcionales los actores de amenazas podrían abusar del motor Nashorn para escapar del entorno seguro y ejecutar código remoto en el sistema afectado.

Las implementaciones de Cassandra son vulnerables cuando están configuradas para permitir UDF con secuencias de comandos, pero no subprocesos de UDF. De forma predeterminada, los subprocesos UDF están habilitados, lo que significa que cada función UDF invocada se ejecuta en un subproceso independiente. Cuando los UDF están habilitados, todos los usuarios pueden crear y ejecutar UDF arbitrarios, incluidos los que iniciaron sesión de forma anónima.

En su informe técnico sobre CVE-2021-44521, Jfrog detalló un proceso que permitió evadir el entorno sandbox de Cassandra, demostrado en su prueba de concepto (PoC). La firma de seguridad también señaló la identificaron de algunas otras fallas, incluyendo ataques de denegación de servicio (DoS) y otras vulnerabilidades RCE.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).