Apache Cassandra用户在漏洞披露后被要求升级

Apache Cassandra用户在漏洞披露后被要求升级

在JFrog的安全研究团队披露了一个远程代码执行漏洞后，Apache Cassandra的用户被督促升级他们的版本，他们称该漏洞“易于利用并且有可能对系统造成严重破坏”。尽管这些新漏洞不会影响禁用用户定义函数(UDF)的Apache Cassandra默认安装，但许多Cassandra配置启用它们，导致实例容易受到RCE或DoS攻击。

CVE-2021-44521的漏洞

CVE-2021-44521的CVSS为8.4，但只影响Cassandra的非默认配置

他们指出，Netflix、Twitter、Urban Airship、Constant Contact、Reddit、Cisco、OpenX、Digg、CloudKick等都在使用Cassandra，因为它是一个“高度可扩展的分布式NoSQL数据库，由于其分布式特性的优势而非常受欢迎。”

“Cassandra提供创建用户定义函数(UDF)以执行数据库中数据的自定义处理的功能。默认情况下，Cassandra UDF可以用Java和JavaScript编写。在JavaScript中，它使用Java运行时环境中的Nashorn引擎(JRE)是一个运行在Java虚拟机(JVM)之上的JavaScript引擎，”JFrog的安全研究人员说。

在接受不受信任的代码时，不能保证Nashorn是安全的。因此，任何允许此类行为的服务都必须始终将Nashorn执行包装在沙箱中。当我们研究Cassandra UDF沙箱实现时，我们意识到特定（非-default)配置选项可以让我们滥用Nashorn引擎，逃离沙箱并实现远程代码执行。

JFrog表示还发现了在某些非默认配置上运行Cassandra的其他问题

他们督促Apache Cassandra 3.0.x用户升级到3.0.26，并补充说3.11.x用户应该升级到3.11.12，4.0.x用户应该升级到4.0.2。所有更新版本均解决了CVE-2021-44521。

对于那些无法升级Cassandra实例的用户，还有一些缓解措施。如果UDF没有被主动使用，用户可以通过将enable_user_defined_functions设置为false来禁用UDF，如果需要UDF，用户可以将enable_user_defined_functions_threads设置为true。

用户还可以通过删除以下权限来删除为不受信任的用户创建、更改和执行函数的权限：ALL FUNCTIONS、ALL FUNCTIONS IN KEYSPACE和FUNCTION用于CREATE、ALTER和EXECUTE查询。

CVE-2021-44521虽然这不像Log4j那样严重，但它确实具有移动性并且可能广泛传播的外观。

“尽管它需要非默认用户配置设置，但我怀疑这些设置在世界各地的许多应用程序中都很常见。不幸的是，没有办法确切知道有多少安装是易受攻击的，而这种漏洞很可能会被自动漏洞扫描程序遗漏，”Bambenek说。

Vulcan Cyber​​的工程师Mike Parkin指出，任何使用Cassandra的组织都应该能够轻松地检查他们的配置，尤其是如果他们有配置或风险管理软件，并在存在漏洞时进行纠正。