Uma vulnerabilidade de execução remota de código (RCE) de alta gravidade no Apache NiFi, para a qual já existe uma ferramenta de exploração, pode levar a acessos não autorizados e violações de dados, alerta a empresa de segurança cibernética Cyfirma. O Apache NiFi é uma ferramenta de integração e automação de dados de código aberto usada para o processamento e distribuição de dados.
Rastreado como CVE-2023-34468 (escore de 8.8 no sistema de pontuação comum de vulnerabilidades – CVSS) e resolvido em junho, o problema pode ser explorado por usuários autenticados para “configurar um URL [endereço de internet] de banco de dados com o driver H2 que permite a execução de código personalizado”.
O problema existe porque determinados serviços NiFi oferecem suporte a acesso configurável a bancos de dados usando JDBC (Java Database Connectivity) e porque qualquer cadeia de caracteres pode ser introduzida ao definir propriedades como o URL de conexão.
Isso essencialmente permite que um invasor crie cadeias de conexão para H2 — um banco de dados incorporado baseado em Java normalmente usado no Apache NiFi —para executar código remotamente em instâncias NiFi vulneráveis e obter acesso não autorizado a sistemas e dados.
“O impacto dessa vulnerabilidade é severo, pois concede aos invasores a capacidade de obter acesso não autorizado a sistemas, exfiltrar dados confidenciais e executar código malicioso remotamente”, observa Cyfirma em uma análise do bug e sua exploração.
Veja isso
Servidores Apache Tomcat são alvos do Mirai para cryptojacking
Milhares de servidores Apache Superset expostos a ataques RCE
O bug afeta as versões 0.0.2 a 1.21.0 do NiFi e foi resolvido com o lançamento do NiFi versão 1.22.0, que “desabilita URLs JDBC H2 na configuração padrão”. Até 30 de agosto, existia um exploit público para essa vulnerabilidade, mas nenhuma exploração maliciosa da falha foi observada até o momento, observa Cyfirma.
A empresa de segurança cibernética identificou cerca de 2.700 instâncias Apache NiFi expostas à internet, pertencentes a organizações de vários setores, incluindo finanças, governo, saúde, telecomunicações e outros.
Considerando a gravidade e o impacto do bug e o fato de que vulnerabilidades em produtos de software semelhantes são conhecidas por terem sido exploradas em ataques em larga escala, as organizações são aconselhadas a atualizar suas instâncias NiFi e permanecer vigilantes a possíveis tentativas de exploração.