Uma falha crítica de segurança foi divulgada no Apache Avro Java Software program Improvement Equipment (SDK) que, se explorada com sucesso, poderia permitir a execução de código arbitrário em instâncias suscetíveis.
A falha, rastreada como CVE-2024-47561afeta todas as versões do software program anteriores a 1.11.4.
“A análise de esquema no Java SDK do Apache Avro 1.11.3 e versões anteriores permite que agentes mal-intencionados executem código arbitrário”, disseram os mantenedores do projeto em um comunicado divulgado na semana passada. “Recomenda-se que os usuários atualizem para a versão 1.11.4 ou 1.12.0, que corrige esse problema.”
Apache Avro, análogo aos Protocol Buffers (protobuf) do Google, é um projeto de código aberto que fornece uma estrutura de serialização de dados com linguagem neutra para processamento de dados em grande escala.
A equipe Avro observa que a vulnerabilidade afeta qualquer aplicativo se permitir que os usuários forneçam seus próprios esquemas Avro para análise. Kostya Kortchinsky, da equipe de segurança do Databricks, recebeu o crédito por descobrir e relatar a falha de segurança.
Como mitigações, recomenda-se higienizar esquemas antes de analisá-los e evitar analisar esquemas fornecidos pelo utilizador.
“CVE-2024-47561 afeta o Apache Avro 1.11.3 e versões anteriores ao desserializar a entrada recebida por meio do esquema avroAvro”, disse Mayuresh Dani, gerente, gerente de pesquisa de ameaças da Qualys, em um comunicado compartilhado com o The Hacker Information.
“O processamento de tais informações de um ator de ameaça leva à execução de código. Com base em nossos relatórios de inteligência de ameaças, nenhum PoC está disponível publicamente, mas esta vulnerabilidade existe durante o processamento de pacotes por meio das diretivas ReflectData e SpecificData e também pode ser explorada through Kafka.”
“Como o Apache Avro é um projeto de código aberto, ele é usado por muitas organizações. Com base em dados disponíveis publicamente, a maioria dessas organizações está localizada nos EUA. Isso definitivamente tem muitas implicações de segurança se não for corrigido, não supervisionado e desprotegido. “