Tres nuevas vulnerabilidades de seguridad en los servicios de Azure HDInsight, incluyendo Apache Hadoop, Kafka y Spark, han sido descubiertas por Orca Security. Las vulnerabilidades pueden ser explotadas por un aumento de privilegios y una condición de denegación de servicio por expresión regular (ReDoS). Los tres fallos incluyen CVE-2023-36419, una escalada de privilegios por inyección de entidad externa (XXE) en el programador Apache Oozie Workflow de Azure HDInsight con una puntuación CVSS de 8.8; CVE-2023-38156, una escalada de privilegios por inyección de conectividad de base de datos Java (JDBC) en Apache Ambari de Azure HDInsight con una puntuación CVSS de 7.2; y una vulnerabilidad de denegación de servicio por expresión regular (ReDoS) de Apache Oozie en Azure HDInsight sin CVE.
Las vulnerabilidades pueden ser explotadas por un atacante autenticado que tenga acceso al clúster HDI objetivo. La explotación exitosa de la vulnerabilidad de ReDoS en Apache Oozie podría interrumpir las operaciones del sistema, causando una degradación del rendimiento, afectando la disponibilidad y confiabilidad del servicio. Microsoft ha lanzado correcciones como parte de las actualizaciones publicadas el 26 de octubre de 2023, tras una divulgación responsable. Esta noticia llega tras una colección de ocho fallos en el servicio de análisis de código abierto de Orca que podrían ser explotados para acceder a datos, secuestrar sesiones y entregar cargas maliciosas.
Vía: The Hacker News
