Uma vulnerabilidade de execução remota de código (RCE) de alta gravidade no Apache NiFi, para a qual já existe uma ferramenta de exploração, pode levar a acesso não autorizado e violações de dados, alerta a empresa de segurança cibernética Cyfirma.
Uma ferramenta de integração e automação de dados de código aberto, Apache NiFi é usada para o processamento e distribuição de dados.
Rastreado como CVE-2023-34468 (pontuação CVSS de 8,8) e resolvido em junho de 2023, o problema pode ser explorado por usuários autenticados para “configurar uma URL de banco de dados com o driver H2 que permite a execução de código personalizado”.
O problema existe porque certos serviços NiFi suportam acesso configurável a bancos de dados usando JDBC e porque qualquer string pode ser introduzida ao definir propriedades como o URL de conexão.
Isso essencialmente permite que um invasor crie cadeias de conexão para H2 – um banco de dados incorporado baseado em Java normalmente usado no Apache NiFi – para executar código remotamente em instâncias vulneráveis do NiFi e obter acesso não autorizado a sistemas e dados.
“O impacto desta vulnerabilidade é grave, pois concede aos invasores a capacidade de obter acesso não autorizado aos sistemas, exfiltrar dados confidenciais e executar códigos maliciosos remotamente”, observa Cyfirma em uma análise do bug e sua exploração.
O bug afeta as versões 0.0.2 a 1.21.0 do NiFi e foi resolvido com o lançamento da versão 1.22.0 do NiFi, que “desativa URLs JDBC H2 na configuração padrão”.
Em 30 de agosto, um exploração pública existe para esta vulnerabilidade, mas nenhuma exploração maliciosa da falha foi observada até o momento, observa Cyfirma.
No entanto, considerando a gravidade e o impacto do bug, e o facto de que se sabe que vulnerabilidades em produtos de software semelhantes foram exploradas em ataques maliciosos, as organizações são aconselhadas a atualizar as suas instâncias NiFi e a permanecer vigilantes relativamente a potenciais tentativas de exploração.
“É importante reconhecer que os agentes de ameaças podem tentar explorar CVE-2023-34468 no Apache NiFi. Isso pode levar a acesso não autorizado, violação de dados ou comprometimento da rede. As organizações devem levar este risco a sério e aplicar patches ou atualizações para proteger os seus sistemas”, observa Cyfirma.
Na verdade, a Cyfirma observa que observou atores cibernéticos “discutindo ou explorando ativamente o CVE-2023-34468” na dark web e que o nível de complexidade do ataque para esse bug é baixo.
A empresa de segurança cibernética identificou cerca de 2.700 instâncias Apache NiFi expostas à Internet, pertencentes a organizações de vários setores, incluindo finanças, governo, saúde, telecomunicações e outros.