VNG Cloud Logo

CVE-2022-33891: Apache Spark shell command injection vulnerability via Spark UI​​​​​​​

Severity: Critical
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

CVSS v3 score: Undefined

Mô tả: 
Apache Spark vừa đưa ra thông báo ngày 18 tháng 7 về một lỗ hổng shell command injection (CVE-2022-33891) cho phép attacker thực thi mã shell bất kỳ trên hệ thống. Chi tiết về lỗ hổng hiện vẫn đang trong quá trình phân tích.

Apache Spark UI cung cấp khả năng enable ACLs thông qua cấu hình spark.acls.enable, cấu hình này sẽ kiểm tra một user về khả năng truy cập để xem hay thay đổi ứng dụng. Nếu ACL được bật, đường dẫn trong HttpSecurityFilter có thể cho phép attacker thực hiện hành vi mạo danh bằng cách cung cấp một username bất kỳ. Attacker sau đó tương tác với hàm kiểm tra permission, nhập và thực thi mã Unix shell tùy ý. Lệnh shell mà attacker vừa thực thi sẽ được chạy dưới quyền của user mà Spark hiện đang chạy.

Hiện tại đã có mã khai thác CVE-2022-33891  trên GitHub: https://github.com/W01fh4cker/cve-2022-33891.  

Spark là một công cụ phân tích (unified analytics engine) để xử lý dữ liệu quy mô lớn.  Nó cung cấp các APIs trong Scala, Java, Python và R, hỗ trợ các đồ thị tính toán để phân tích dữ liệu. Spark cũng hỗ trợ nhiều công cụ khác bao gồm Spark SQL cho SQL và DataFrames, pandas API cho pandas workloads, Mllib cho machine learning, GraphX để xử lý đồ thị và Structured Streaming để xử lý luồng.

Các phiên bản bị ảnh hưởng:  
Apache Spark versions:  

  • <= 3.0.3
  • 3.1.1, 3.1.2
  • 3.2.0, 3.2.1

Cách khắc phục:  

  • Khuyến nghị người dùng nâng cấp Apache Spark tới các phiên bản được hỗ trợ: 3.1.3, 3.2.2, 3.3.0 hoặc cao hơn.
  • GIới hạn truy cập apache spark UI từ internet.

Tham khảo: