Các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để truy cập trái phép vào khối lượng công việc Kubernetes và tận dụng chúng cho hoạt động khai thác tiền điện tử.
Đó là theo nhóm Microsoft Threat Intelligence, cho biết các lỗ hổng đã được vũ khí hóa kể từ đầu tháng 4/2024.
OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu, cung cấp một giải pháp thống nhất để khám phá, quan sát và quản trị tài sản dữ liệu.
Các lỗ hổng được đề cập - tất cả được phát hiện và ghi nhận cho nhà nghiên cứu bảo mật Alvaro Muñoz - được liệt kê dưới đây -
- CVE-2024-28847 (điểm CVSS: 8.8) - Lỗ hổng tiêm Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (cố định trong phiên bản 1.2.4)
- CVE-2024-28848 (điểm CVSS: 8.8) - Lỗ hổng tiêm SpEL trong GET /api/v1/policies/validation/condition/<expr> (cố định trong phiên bản 1.2.4)
- CVE-2024-28253 (điểm CVSS: 8.8) - Lỗ hổng tiêm SpEL trong PUT /api/v1/policies (cố định trong phiên bản 1.3.1)
- CVE-2024-28254 (điểm CVSS: 8.8) - Lỗ hổng tiêm SpEL trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã sửa trong phiên bản 1.2.4)
- CVE-2024-28255 (điểm CVSS: 9.8) - Lỗ hổng bỏ qua xác thực (đã sửa trong phiên bản 1.2.4)
Khai thác thành công các lỗ hổng có thể cho phép tác nhân đe dọa bỏ qua xác thực và đạt được thực thi mã từ xa.
Sau khi công bố câu chuyện, OpenMetadata cho biết họ đã nhanh chóng thực hiện các bước để giải quyết các lỗ hổng bảo mật nói trên vào tháng 1/2024 sau khi tiết lộ vào ngày 14/12/2023.
Sriharsha Chintalapani của OpenMetadata cho biết các vấn đề có thể cho phép người dùng không được xác thực, không quản trị tiêm tải trọng độc hại và bỏ qua các chính sách bảo mật, có khả năng dẫn đến leo thang đặc quyền.
"Cộng đồng OpenMetadata rất coi trọng tính bảo mật và sự tin tưởng của dự án nguồn mở", công ty cho biết trong một tuyên bố được chia sẻ với The Hacker News.
"Chúng tôi cũng nhận được sự giúp đỡ của các nhà nghiên cứu bảo mật về mã có sẵn công khai để tìm lỗ hổng và giải quyết chúng một cách nhanh chóng. CVE-2024-XXXX là một lỗ hổng bảo mật đã được tiết lộ trước đó vào ngày 14/12 và sau đó được vá vào ngày 5/1".
(Câu chuyện đã được cập nhật sau khi xuất bản để bao gồm một tuyên bố từ OpenMetadata.)