Especialistas en ciberseguridad reportan el hallazgo de seis fallas de seguridad en Apache Pulsar, la plataforma de streaming y mensajería nativa en la nube inicialmente desarrollada por Yahoo! y mantenida actualmente por Apache Software Foundation. Acorde al reporte, la explotación exitosa de estas fallas permitiría la ejecución remota de código, filtración de información confidencial y otros escenarios de riesgo.

A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación CVE y sus puntajes acorde al Common Vulnerability Scoring System (CVSS).

CVE-2020-26238: La validación de entrada incorrecta en la herramienta afectada permitiría a los actores de amenazas enviar una solicitud especialmente diseñada y ejecutar código arbitrario en el sistema objetivo.

La falla recibió un puntaje CVSS de 7.1/10 y su explotación exitosa permitiría el compromiso total del sistema afectado.

CVE-2020-15250: La aplicación usa la regla de prueba TemporaryFolder que almacena información confidencial en archivos temporales en el directorio temporal del sistema, accesible para otros usuarios del sistema. Un usuario local podría leer archivos temporales y obtener información sensible.

Esta falla recibió un puntaje de 2.9/10.

CVE-2020-8908: La presencia de permisos predeterminados incorrectos para archivos ubicados en el directorio temporal establecido por Guava com.google.common.io.Files.createTempDir() permitiría a los usuarios locales con acceso al sistema objetivo ver el contenido de archivos y directorios o modificarlos.

La falla recibió un puntaje de 3.9/10 y su explotación exitosa permitiría a los atacantes escalar privilegios en el sistema afectado.

CVE-2018-10237: La asignación de memoria ilimitada permitiría a los hackers remotos hacer que el servicio se bloquee y deserialice los datos proporcionados, porque la clase AtomicDoubleArray y la clase CompoundOrdering realizan una asignación sin verificaciones adecuadas sobre lo que ha enviado un cliente.

La falla recibió un puntaje CVSS de 4.6/10 y su explotación exitosa permitiría realizar un ataque de denegación de servicio (DoS).

CVE-2021-21409: Una validación incorrecta de las solicitudes HTTP en io.netty: netty-codec-http2 en Netty permitiría a los atacantes remotos enviar una solicitud HTTP especialmente diseñada al servidor y realizar un ataque de contrabando de encabezados HTTP arbitrarios.

Esta falla recibió un puntaje CVSS de 6.1/10.

CVE-2018-12541: Una falla de límite en la implementación de la actualización HTTP de WebSocket permitiría a los atacantes autenticados de forma remota provocar daños en la memoria, conduciendo a una condición DoS en el sistema objetivo. La vulnerabilidad recibió un puntaje CVSS de 5.7/10.

CVE-2021-28169: Un problema de doble decodificación al analizar URI con ciertos caracteres permitiría a los atacantes remotos el envío de solicitudes a ConcatServlet y WelcomeFilter, accediendo al contenido de los recursos protegidos dentro del directorio WEB-INF.

La falla recibió un puntaje de 4.6/10 y su explotación permitiría a los atacantes remotos acceder a información confidencial.

Todas las fallas residen en las siguientes versiones de Apache Pulsar: 2.0.0, 2.0.1, 2.1.0, 2.1.1, 2.2.0, 2.2.1, 2.3.0, 2.3.1, 2.3.2, 2.4.0, 2.4.1, 2.4.2, 2.5.0, 2.5.1, 2.5.2, 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.7.0, 2.7.1 y 2.7.2.

Si bien algunas estas fallas pueden ser explotadas de forma remota por actores de amenazas no autenticados, los expertos en ciberseguridad no han detectado intentos de explotación activa o la existencia de una variante de malware asociada al ataque. Los parches de seguridad ya están disponibles, por lo que se recomienda a los usuarios de implementaciones afectadas actualizar a la brevedad.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).