Госорганы под ударом: ошибка Apache Flink активно используется уже 3 года

В начале 2021 года в Apache Flink была исправлена ошибка контроля доступа, которая теперь добавлена в каталог CISA KEV. Это означает, что киберпреступники активно используют уязвимость для компрометации целей.

Apache Flink — это платформа для потоковой и пакетной обработки данных с открытым исходным кодом, поддерживаемая Apache Software Foundation.

CVE-2020-17519 (оценка CVSS: 7.5) связана с неправильным контролем доступа, который позволяет злоумышленнику прочитать любой файл в локальной файловой системе JobManager через REST-интерфейс. Уязвимость затрагивает Apache Flink версии 1.11.0 (а также выпущенное в версиях 1.11.1 и 1.11.2).

Apache исправила уязвимость в версиях 1.11.3 и 1.12.0. Вскоре после этого исследователи по безопасности опубликовали PoC-код. И вот в мае 2024 года федеральные агентства и другие организации всё ещё используют небезопасные версии, а преступники активно используют уязвимость.

CISA не предоставила подробной информации об уязвимости и случаях эксплуатации. В базе данных статус ошибки обозначен как «неизвестный», то есть на данный момент не известно, кто злоупотребляет ошибкой и с какой целью. Несмотря на это, подразделение Palo Alto Networks Unit 42 предупредило о масштабных злоупотреблениях в период с ноября 2020 года по январь 2021 года.

Включение недостатка в каталог обязывает федеральные агентства либо закрыть брешь, либо полностью прекратить использование инструмента до 13 июня. Важно, чтобы и другие пользователи ПО убедились в наличии необходимых обновлений. Также рекомендуется проверить, не была ли система скомпрометирована через эту уязвимость. Несмотря на то, что об активной эксплуатации ошибки стало известно только сейчас, она могла быть использована и ранее.