A modo de contextualizar la descripción de las vulnerabilidades, una breve definición de:
- Apache NiFi, es una plataforma de logística de datos diseñada para automatizar el flujo de datos entre sistemas de software.
- Apache OpenMeetings, es un proyecto de la Fundación Apache que permite implementar un servidor para conferencias a través de internet.
- Apache Hadoop, es un framework o entorno de trabajo de código abierto que permite el almacenamiento distribuido y procesamiento de grandes conjuntos de datos.
- Apache Tapestry, es un framework Java de código abierto utilizado para el desarrollo de aplicaciones web.
¿Qué pasó?
Recientemente fueron lanzadas actualizaciones de seguridad para los productos Apache NiFi, Apache OpenMeetings, Apache Tapestry y Apache Hadoop, que abordaron 7 vulnerabilidades, de las cuales 1 ha sido catalogada como crítica, 4 con riesgo alto, 1 con riesgo medio y 1 con riesgo bajo. La explotación exitosa de estos fallos permitiría a un atacante realizar ataques de denegación de servicios (DoS) y obtener información potencialmente útil para realizar otros ataques.
Versiones afectadas:
- Apache NiFi en versiones 1.0.0 hasta la 1.11.4;
- Apache OpenMeetings en versiones 4.0.0 hasta la 5.0.0;
- Apache Tapestry en versiones 5.4.0 hasta la 5.5.0;
- Apache Hadoop en versiones 3.0.0-alpha2 hasta la 3.0.0, 2.9.0 hasta la 2.9.2 y 2.8.0 hasta la 2.8.5.
A continuación, se describen brevemente las vulnerabilidades descubiertas:
Fallo de riesgo crítico
El CVE-2020-9491, afecta a la API e interfaz de usuario de Apache NiFi; y se da debido a que ambos componentes utilizan como medida de seguridad el protocolo TLS v1.2, al igual que las conexiones de escucha establecidas por procesadores como ListenHTTP, HandleHttpRequest, entre otros. Sin embargo, las comunicaciones dentro del clúster, la replicación de solicitudes del clúster y las colas con equilibrio de carga seguían admitiendo los protocolos TLS v1.0 o v1.1. El impacto de dicha vulnerabilidad no ha sido revelado.
Fallos de riesgo alto
El CVE-2020-13951, afecta a una función desconocida del servicio NetTest Web de Apache OpenMeetings. Un atacante local podría utilizar este servicio y mediante la explotación exitosa realizar un ataque de denegación de servicios (DoS).
Por otro lado, vulnerabilidades de divulgacion de informacion:
El CVE-2018-11765, afecta a Apache Hadoop y se da debido a que cualquier usuario puede acceder a algunos servlets no especificados sin autenticación, esto sucede cuando la autenticación Kerberos se encuentra habilitada y SPNEGO a traves de HTTP no se encuentra habilitada. Mientras que el CVE-2020-9486 afecta al motor NiFi stateless execution de Apache HiFi y se da debido a que dicho motor produce una salida de registro que incluyen valores de propiedad potencialmente confidenciales, específicamente durante la activación de un flujo, la configuración de definición de un flujo JSON contiene valores confidenciales en texto plano.
Finalmente, el CVE-2020-9487 afecta a los tokens de descarga NiFi de Apache NiFi y se da debido a que dicho mecanismo no autenticaba una solicitud para crear un token, esto solo lo hacía en el caso de que el token sea utilizado para acceder al contenido. Un atacante no autenticado podría solicitar múltiples veces un token de descarga, imposibilitando a usuarios legítimos realizar las solicitudes de tokens de descarga.
Además, se abordaron también vulnerabilidades de riesgo medio y bajo:
Fallo de riesgo medio que permitiría a un atacante local descargar archivos almacenados dentro de la carpeta WEB-INFO en Apache Tapestry (CVE-2020-13953) y un fallo de riesgo bajo que permitirá a un atacante local obtener información en Apache NiFi (CVE-2020-13940).
Recomendaciones:
- Actualizar los productos afectados a la última versión disponible, en este caso:
- Apache NiFi, a la version 1.12.1;
- Apache OpenMeetings, a la version 5.0.1;
- Apache Hadoop, a las versiones 2.10.1 o 3.1.4;
- Apache Tapestry, a la versión 5.6.0.
- En caso de no ser posible la actualización, como medida de mitigación para la vulnerabilidad en Apache Hadoop, se recomienda activar SNPEGO a través de HTTP.
Referencias:
- https://lists.apache.org/thread.html/re2aed827cd24ae73cbc320e5808020c8d12c7b687ee861b27d728bbc%40%3Cuser.openmeetings.apache.org%3E
- https://lists.apache.org/thread.html/r50eb12e8a12074a9b7ed63cbab91d180d19cc23dc1da3ed5b6e1280f%40%3Cusers.tapestry.apache.org%3E
- https://lists.apache.org/thread.html/r2c7f899911a04164ed1707083fcd4135f8427e04778c87d83509b0da%40%3Cgeneral.hadoop.apache.org%3E
- https://nifi.apache.org/security#CVE-2020-9491
- https://nifi.apache.org/security#CVE-2020-9486
- https://nifi.apache.org/security#CVE-2020-9487
- https://nifi.apache.org/security#CVE-2020-13940