Plateforme
java
Composant
org.apache.cassandra:cassandra-all
Corrigé dans
3.0.26
3.11.12
4.0.2
3.0.26
La vulnérabilité CVE-2021-44521 est une faille d'exécution de code à distance (RCE) critique affectant Apache Cassandra. Cette faille permet à un attaquant d'exécuter du code arbitraire sur le serveur Cassandra si les fonctions définies par l'utilisateur (UDF) sont activées avec une configuration spécifique. Les versions de Cassandra concernées sont celles inférieures ou égales à la version 3.0.9. Une correction est disponible dans la version 3.0.26.
L'impact de cette vulnérabilité est extrêmement élevé. Un attaquant disposant des permissions nécessaires pour créer des UDF dans le cluster Cassandra peut exploiter cette faille pour exécuter du code malveillant sur le serveur. Cela peut conduire à la compromission complète du système, à la vol de données sensibles, à la modification des données, ou à l'utilisation du serveur pour lancer d'autres attaques. La configuration vulnérable, où enableuserdefinedfunctions, enablescripteduserdefinedfunctions et enableuserdefinedfunctions_threads sont activés, est documentée comme non sécurisée, mais reste une source de risque importante.
Cette vulnérabilité a été rendue publique le 12 février 2022. Bien qu'aucune exploitation active à grande échelle n'ait été signalée à ce jour, la sévérité critique de la vulnérabilité et la possibilité d'exécution de code à distance en font une cible potentielle pour les attaquants. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour. L'existence de preuves de concept publiques est probable, compte tenu de la nature de la vulnérabilité.
Organizations running Apache Cassandra in production environments, particularly those utilizing user-defined functions, are at risk. Environments with less stringent access controls, where users have broad permissions to create objects within the Cassandra cluster, are especially vulnerable. Shared hosting environments where multiple tenants share a Cassandra instance are also at increased risk.
• linux / server:
journalctl -u cassandra | grep -i "user defined function"• java:
Inspect cassandra.yaml for the presence of enableuserdefinedfunctions: true, enablescripteduserdefinedfunctions: true, and enableuserdefinedfunctions_threads: false.
• generic web:
Check Cassandra configuration files for the vulnerable settings. Review access logs for unusual UDF creation requests.
discovery
disclosure
patch
Statut de l'Exploit
EPSS
90.61% (percentile 100%)
Vecteur CVSS
La mitigation principale consiste à mettre à jour Apache Cassandra vers la version 3.0.26 ou supérieure. Si la mise à jour n'est pas immédiatement possible, il est impératif de désactiver les fonctions définies par l'utilisateur (UDF) en modifiant la configuration de Cassandra. Plus précisément, désactivez enableuserdefinedfunctions, enablescripteduserdefinedfunctions et enableuserdefinedfunctions_threads. En l'absence de mise à jour immédiate, une solution de contournement temporaire pourrait consister à utiliser un pare-feu applicatif web (WAF) pour bloquer les requêtes malveillantes ciblant les UDF. Après la mise à jour, vérifiez que les UDF sont désactivés en consultant le fichier de configuration cassandra.yaml.
Mettez à jour Apache Cassandra à la version 3.0.26, 3.11.12 ou 4.0.2, ou supérieure, selon ce qui correspond à votre branche de version. Assurez-vous de désactiver les fonctions définies par l'utilisateur (UDF) avec scripts si elles ne sont pas nécessaires, ou exécutez-les dans un environnement sécurisé. Si les UDF avec scripts sont nécessaires, évitez la configuration non sécurisée documentée.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2021-44521 is a critical remote code execution vulnerability in Apache Cassandra versions 3.0.0 through 3.0.9. Attackers can execute arbitrary code by exploiting unsafe configurations related to user-defined functions.
You are affected if you are running Apache Cassandra versions 3.0.0 through 3.0.9 and have enabled user-defined functions with the vulnerable configuration settings.
Upgrade to Apache Cassandra version 3.0.26 or later. As a temporary workaround, disable user-defined functions in your cassandra.yaml configuration file.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's severity and available proof-of-concept exploits suggest a high risk of exploitation.
Refer to the Apache Cassandra security advisory: https://cwiki.apache.org/confluence/display/CASSANDRA/Security
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier pom.xml et nous te dirons instantanément si tu es affecté.