Ошибка в Apache NiFi: хакеры могут управлять вашей базой данных

Специалисты ИБ-компании Cyfirma обнаружили опасную уязвимость удаленного выполнения кода (Remote Code Execution, RCE) в Apache NiFi, эксплуатация которой может привести к несанкционированному доступу и краже данных.

Apache NiFi является инструментом с открытым исходным кодом для интеграции данных и автоматизации, используемым для обработки и распределения данных. Cyfirma выявила около 2700 экземпляров Apache NiFi, доступных в Интернете и принадлежащих организациям различных секторов, включая финансы, правительство, здравоохранение, телекоммуникации и другие.

Уязвимость CVE-2023-34468 (CVSS 8.8) была устранена в июне 2023 года. Ошибку может эксплуатировать аутентифицированный злоумышленник для настройки URL-адреса базы данных с драйвером H2, который позволяет выполнять пользовательский код.

Проблема возникает из-за того, что некоторые услуги NiFi поддерживают настраиваемый доступ к базам данных с использованием JDBC, а также потому, что при установке URL-адреса подключения можно вводить любую строку.

Такие механизмы NiFi позволяют хакеру создавать строки подключения для H2 – встроенной базы данных на Java, обычно используемой в Apache NiFi – для удаленного выполнения кода на уязвимых экземплярах NiFi и получения несанкционированного доступа к системам и данным.

JDBC (Java Database Connectivity) — это стандартный API для Java, обеспечивающий взаимодействие Java-приложений с базами данных через выполнение SQL-запросов. H2 — это легковесная и быстрая база данных на Java, которая может работать как в встроенном режиме, так и в режиме сервера. Взаимосвязь между JDBC и H2 осуществляется через JDBC-драйвер, предоставляемый H2, что позволяет разработчикам отправлять SQL-запросы к базе данных H2 и обрабатывать результаты с использованием JDBC API.

В Cyfirma отметили, что уязвимость предоставляет злоумышленнику возможность получить несанкционированный доступ к системам, извлекать конфиденциальные данные и удаленно выполнять вредоносный код.

Ошибка влияет на версии NiFi с 0.0.2 по 1.21.0 и была устранена в версии NiFi 1.22.0 , которая отключает URL-адреса H2 JDBC в конфигурации по умолчанию. Также сообщается, что в сети был опубликован эксплойт для уязвимости, но до сих пор не было замечено злонамеренной эксплуатации недостатка. Однако в даркнете хакеры уже активно обсуждают или пытаются эксплуатировать CVE-2023-34468. Отметим, что уровень сложности атаки для этой ошибки низкий.

Тем не менее, учитывая серьезность и влияние ошибки, а также тот факт, что известно об эксплуатации уязвимостей в аналогичных программных продуктах, рекомендуется обновить экземпляры NiFi и быть внимательным к возможным попыткам эксплуатации.