Уязвимости в платформе Apache OpenWhisk могут привести к утечке данных
Исследователи безопасности из компании PureSec сообщили о наличии опасных уязвимостей (CVE-2018-11756 и CVE-2018-11757) в облачной платформе для бессерверных вычислений Apache OpenWhisk. Обнаруженные проблемы могут привести к раскрытию конфиденциальной информации.
Программное обеспечение Apache OpenWhisk выполняет функции в ответ на определенные события. Платформа использует быстрое автоматическое масштабирование и содержит программу, которая может использоваться для создания функций в виде облачных обработчиков событий, выполняющих функции автоматически в среде запуска контейнеров.
Однако при определенных условиях удаленные злоумышленники могут изменять и перезаписывать исходный код функций. Когда действия запускаются в OpenWhisk, система взаимодействует с ними через интерфейс REST. В каждом контейнере есть две конечные точки - init и run. Если действие содержит уязвимости, злоумышленники могут отправить локальный HTTP-запрос для точки init в интерфейсе REST через порт 8080.
Запрос может быть отправлен путем эксплуатации уязвимости межсайтового скриптинга или проблемы подделки запроса со стороны сервера (Server-Side Request Forgery, SSRF) в действии либо путем использования функции eval (). Успешная атака может привести к утечке данных, принадлежащих разным конечным пользователям.
Исследователи уведомили разработчиков о проблемах. В настоящее время уязвимости уже исправлены.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
