Apache Ignite’da aniqlangan kritik zaiflik masofadan kod bajarish imkonini berishi mumkin
Apache Ignite – bu distributiv xotira bazasi platformasi boʻlib, katta hajmdagi maʼlumotlarni tezda qayta ishlash va saqlash imkonini beradi. Biroq, soʻnggi paytlarda platformada CVE-2024-52577 deb belgilangan kritik zaiflik topildi. Bu zaiflik tizimlarga masofadan kod bajarish (RCE) hujumlariga yoʻl ochishi mumkin. Zaiflik CVSS 9.8 ball bilan baholangan, bu esa uning yuqori darajadagi xavfini koʻrsatadi.
Zaiflik Apache Ignitening 2.6.0 dan 2.16.x gacha boʻlgan versiyalariga taʼsir qiladi. Uning asosiy sababi – server endpointlarida klass serializatsiyasi filtrlari toʻgʻri qoʻllanilmagan. Hujumchilar serializatsiya qilingan obʼektlardan iborat zararli payloadlar yaratib, ularni serverga yuborishi mumkin. Bu esa deserializatsiya jarayonida xavfsizlik cheklovlarini chetlab oʻtish va ixtiyoriy kodni bajarish imkonini beradi.
Zaiflik ObjectInputFilter konfiguratsiyalarini qoʻllashda xatolik tufayli yuzaga kelgan. Bu filtrlarning vazifasi – deserializatsiya jarayonida xavfli klasslarni bloklashdir. Biroq, Apache Ignite bu filtrlarni toʻliq qoʻllamagan, natijada hujumchilar tizimni toʻliq nazorat qilish imkoniyatiga ega boʻlishdi.
Hujumni amalga oshirish uchun quyidagi shartlar zarur:
- Tarmoq Kirishi:
Hujumchi Apache Ignite endpointlariga (masalan, REST API yoki binar protokollar) kirish imkoniyatiga ega boʻlishi kerak. - Gadget Klasslari:
Serverning classpathida zararli serializatsiya usullariga ega boʻlgan kutubxonalar (gadget klasslari) mavjud boʻlishi kerak.
Bu zaiflikni Zhattatey nomli hisobotchi va Mikhail Petrov nomli dasturchi aniqlab, tuzatish ustida ishlagan. Apache Software Foundation zaiflikni bartaraf qilish uchun Apache Ignite 2.17.0 versiyasini chiqardi. Bu yangi versiya serializatsiya filtrlari toʻliq qoʻllanilishini taʼminlaydi.
Zaiflikni bartaraf qilish choralari
- Versiyani Yangilash:
Apache Igniteni 2.17.0 versiyasiga yangilang. Buning uchun Maven orqali quyidagi buyruqdan foydalaning:mvn clean install -Dignite.version=2.17.0 - Tarmoq Kirishini Cheklash:
Apache Ignite endpointlariga kirishni cheklash uchun firewall yoki xavfsizlik guruhlaridan foydalaning. - Loglarni Kuzatish:
Tizim loglarini muntazam tekshiring. Gʻayritabiiy deserializatsiya urinishlari (masalan, kutilmagan klass yuklashlari yoki tarmoq ulanishlari) aniqlansa, darhol choralar koʻring. - Gadget Kutubxonalarini Tekshirish:
Serverning classpathida keraksiz yoki xavfli kutubxonalar mavjudligini tekshiring va ularni olib tashlang.
CVE-2024-52577 zaifligi Java serializatsiyasidagi umumiy muammolarni yana bir bor koʻrsatib berdi. Bu muammolar birinchi marta 2015 yilda Apache Commons Collectionsdagi zaifliklar bilan keng eʼtiborga tushgan. Java 9 da JEP 290 orqali serializatsiya filtrlari joriy etilgan boʻlsa-da, notoʻgʻri sozlamalar va konfiguratsiyalar hali ham keng tarqalgan.
Qoʻshimcha tavsiyalar
- Proaktiv patch management:
Tizimlarni muntazam ravishda yangilang va xavfsizlik yangilanishlarini oʻz vaqtida oʻrnating. - Defense-in-Depth strategiyasi:
Tizimni qatlamli himoya qilish strategiyasini qoʻllang. Bu tizimga kirishni cheklash, maʼlumotlarni shifrlash va muntazam tekshirishlarni oʻz ichiga oladi. - Xodimlarni oʻqitish:
Xodimlarga kiberxavfsizlik boʻyicha treninglar oʻtkazing va ularni yangi xavflar haqida xabardor qiling. - Zaifliklarni tekshirish:
Tizimlarda zaifliklarni aniqlash uchun muntazam ravishda penetratsion testlar oʻtkazing.
Apache Ignitedagi CVE-2024-52577 zaifligi tizimlarni masofadan kod bajarish hujumlariga ochiq qoldiradi. Bu zaiflikni bartaraf qilish uchun Apache Igniteni 2.17.0 versiyasiga yangilash, tarmoq kirishini cheklash va tizim loglarini muntazam tekshirish zarur. Shuningdek, Java serializatsiyasidagi umumiy xavflarni hisobga olib, tizimlarni qatlamli himoya qilish strategiyasini qoʻllash muhimdir.
Kiberxavfsizlik – bu doimiy ehtiyotkorlik va yangilanishni talab qiladigan jarayon. Apache Ignite kabi platformalardan foydalanayotgan tashkilotlar ushbu tavsiyalarga amal qilish orqali oʻz maʼlumotlarini himoya qilishlari mumkin.
