Se ha publicado una vulnerabilidad de criticidad alta en el software de base de datos Apache Cassandra utilizado por grandes organizaciones, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad identificada como CVE-2021-44521 de severidad alta, tiene una puntuación de 8.4. Esta se debe a una falla que se produce cuando en la configuración del archivo cassandra.yaml se encuentran las siguientes variables (no incluidas por defecto por el fabricante):
- enable_user_defined_functions: true
- enable_scripted_user_defined_functions: true
- enable_user_defined_functions_threads: false
Cuando la opción enable_user_defined_functions_threads se establece en false, todas las funciones del UDF (User Define Functions) se ejecutan en el subproceso del servicio Cassandra, que posee ciertos privilegios en su administrador de seguridad y permitirían a un atacante con privilegios de creación de UDF escapar del sandbox y realizar ejecución remota de código (RCE) en el servidor afectado.
Las versiones afectadas de Apache Cassandra son:
- Apache Cassandra versión 3.0.0 a la versión 3.0.26
- Apache Cassandra versión 3.1 a la versión 3.11.12
- Apache Cassandra versión 4.0.0 a la versión 4.0.2
Para evitar una posible explotación, recomendamos agregar la siguiente opción de configuración:
- allow_extra_insecure_udfs: false
Adicionalmente recomendamos instalar las actualizaciones proveídas por Apache a las versiones correspondientes:
- Apache Cassandra 3.0 a la versión 3.0.26.
- Apache Cassandra 3.11 a la versión 3.11.12.
- Apache Cassandra 4.0 a la versión 4.0.2.
Referencias: