Apache Hertzbeat zawiera podatność typu JNDI injection w module kolekcji JMX, umożliwiającą zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Podatność jest krytyczna — atakujący z dostępem sieciowym może przejąć pełną kontrolę nad systemem.
▸ Pokaż oryginał (EN)
Hertzbeat is a real-time monitoring system. In the implementation of `JmxCollectImpl.java`, `JMXConnectorFactory.connect` is vulnerable to JNDI injection. The corresponding interface is `/api/monitor/detect`. If there is a URL field, the address will be used by default. When the URL is `service:jmx:rmi:///jndi/rmi://xxxxxxx:1099/localHikari`, it can be exploited to cause remote code execution. Version 1.4.1 contains a fix for this issue.
Podatność tkwi w klasie `JmxCollectImpl.java`, w wywołaniu `JMXConnectorFactory.connect`, które nie weryfikuje poprawności przekazanego adresu URL. Endpoint `/api/monitor/detect` przyjmuje pole URL i jeśli wartość ma postać `service:jmx:rmi:///jndi/rmi://[host]:1099/[zasób]`, zostaje ona bezpośrednio przekazana do mechanizmu JNDI. Atakujący może wskazać złośliwy serwer RMI pod własną kontrolą, co skutkuje załadowaniem i wykonaniem dowolnego kodu po stronie serwera.
Nieuwierzytelniony atakujący zdalny może uzyskać pełną kontrolę nad serwerem — odczytać poufne dane, zmodyfikować lub zniszczyć dane oraz zdestabilizować działanie systemu (pełna triada: poufność, integralność, dostępność).
Należy zaktualizować Apache Hertzbeat do wersji 1.4.1, która zawiera poprawkę dla tego problemu. Szczegóły dostępne w repozytorium producenta (commit f794b0d82be49c596c04a042976446559eb315ef).
Apache Hertzbeat w wersjach poprzedzających 1.4.1
Poprawka została opublikowana w wersji 1.4.1 i opisana w security advisory GHSA-gcmp-vf6v-59gg na GitHub.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HApache Hertzbeat
APPApache< 1.4.1
Powiązane podatności
Apache Hertzbeat — YAML deserialization w endpoincie /define/yml
Apache Hertzbeat — script injection via AviatorEvaluator (RCE)
Improper Neutralization of Data within XPath Expressions ('XPath Injection') vulnerability in Apache HertzBeat...
XML Injection RCE by parse http sitemap xml response vulnerability in Apache HertzBeat. The attack...
Improper Neutralization of Special Elements used in an LDAP Query ('LDAP Injection') vulnerability in Apache H...