Des vulnérabilités critiques découvertes sur Apache Hadoop

La fondation Apache a rendu publique deux vulnérabilités critiques découvertes par la société Snyk concernant le cadriciel (framework) Hadoop, et plus particulièrement son module YARN. L'exploitation de la première vulnérabilité pourrait ainsi entraîner une exécution de commande à distance non désirée sur plusieurs serveurs. Une attaque de ce type est simple à mettre en œuvre et ne nécessite ni d'interaction avec un utilisateur ni de privilège particulier. La seconde vulnérabilité, plus complexe à mener que la première, pourrait quant à elle permettre à un attaquant d'élever ses privilèges et obtenir les droits d'administrateur.

Hadoop est un cadriciel libre composé de plusieurs modules permettant le traitement distribué de grandes quantités de données. L’un d’entre eux est le module YARN, un gestionnaire de ressources permettant la planification de tâches. 
L'une des vulnérabilités, nommée Zip Slip, a été initialement découverte en juin dernier sur de nombreuses applications web et projets logiciels qui font notamment usage de .NET, Oracle ou encore Ruby. La société Snyk maintient par ailleurs un répertoire GitHub ouvert au public (voir Liens) qui liste tous les projets affectés par Zip Slip. Il s'agit d'une vulnérabilité de type « traversée de répertoire » pouvant être exploitée en extrayant des fichiers depuis une archive dans le but de remplacer des fichiers légitimes (dont des exécutables) par un code malveillant. Cette vulnérabilité n'affecte que les projets utilisant le démon YARN NodeManager.

Les utilisateurs concernés par les vulnérabilités sont amenés à mettre à jour Apache Hadoop le plus rapidement possible.

Détails Techniques : 

Les 2 vulnérabilités les plus critiques ont été listées comme suit : 

  • CVE-2018-8009 : Les projets logiciels vulnérables sont tous ceux qui utilisent les bibliothèques mentionnées dans le bulletin (voir Liens). L'exploitation de la vulnérabilité nécessite ainsi de disposer d'une archive malveillante et d'un code d'extraction qui omet de valider les chemins de destination lors de l'extraction des fichiers. En effet, cette archive doit contenir un ou plusieurs fichiers qui sont extraits hors du répertoire cible désigné. Le code d'extraction remontera ainsi l'arborescence du répertoire pour atteindre la racine et y créera le nouveau fichier dans le dossier /tmp. Un fichier malveillant inséré de la sorte peut alors se faire passer pour un fichier légitime. Si ce fichier est utilisé lors de scripts automatisés ou manuellement par un utilisateur,  le code malveillant qu'il contient sera alors exécuté avec les privilèges de l'utilisateur courant. 
  • CVE-2018-11766 : Une vulnérabilité qui vient compléter une autre vulnérabilité sur une version antérieure d’Apache Hadoop. Le correctif de sécurité précédent CVE-2016-6811 est incomplet dans la mesure où un utilisateur qui obtient les droits d’utilisateur YARN peut éventuellement exécuter du code arbitraire pour obtenir les droits d'administrateur.
Informations
+

Risques

  • Elévation de privilèges
  • Exécution de code à distance

Criticité

  • Score CVSS : en cours d'évaluation

Existence d’un code d’exploitation de la vulnérabilité

  • Les chercheurs à l'origine de la découverte de Zip-Slip ont publié des preuves de concepts et des vidéos de démonstration pour l'exploitation de la vulnérabilité CVE-2018-8009

Composants & versions vulnérables

  • Toutes les versions d'Hadoop excepté les versions 3.1.1, 3.0.3, 2.8.5 et 2.7.7

CVE

  • CVE-2018-8009
  • CVE-2018-11766
  • CVE-2016-6811

Recommandations
+

Mise en place de correctif de sécurité

  • Des correctifs de sécurité pour toutes les versions affectées ont été publiés sur le site d'Hadoop.

Solution de contournement

  • Aucune solution de contournement n'a été proposée.