Nova kritična ranjivost ( CVE-2024-52046 ) je otkrivena u Apache MINA, potencijalno omogućavajući napadačima da izvrše daljinski kod iskorištavanjem nesigurnih procesa deserializacije.
Ova mana utiče na više verzija popularne mrežne biblioteke, izazivajući značajne bezbjednosne brige.
Objašnjena ranjivost
Problem leži u komponenti ObjectSerializationDecoder Apache MINA, koja koristi Java-in izvorni protokol deserializacije.
Dekoderu nedostaju adekvatni sigurnosni mehanizmi, koji omogućavaju napadačima da ubace maliciozne serijalizovane podatke. Kada se deserializiraju, ovi podaci mogu pokrenuti Remote Code Execution (RCE), dovodeći pogođene sisteme u ozbiljan rizik.
Verzije pogođene
Sljedeće verzije Apache MINA su ranjive:
- Verzije od 2.0 do 2.0.26
- Verzije 2.1 do 2.1.9
- Verzije 2.2 do 2.2.3
Organizacije koje koriste bilo koju od ovih verzija moraju poduzeti hitne mjere kako bi umanjile rizik.
Tim Apache MINA je objavio ispravke — 2.0.27, 2.1.10 i 2.2.4 — kako bi riješio ovu ranjivost.
Ova izdanja uključuju popravke za poboljšanje sigurnosti procesa deserijalizacije provođenjem strože validacije dolaznih serijaliziranih podataka.
Kako ublažiti ranjivost
- Odmah nadogradite
Korisnici bi trebali izvršiti nadogradnju na zakrpljene verzije Apache MINA (2.0.27, 2.1.10 ili 2.2.4). Odlaganje ažuriranja povećava rizik od eksploatacije. - Primjena sigurne deserializacije
Nakon nadogradnje, programeri moraju konfigurisati ObjectSerializationDecoder eksplicitnim navođenjem prihvatljivih imena klasa za deserializaciju. U tu svrhu uvedene su tri nove metode:- prihvati (ClassNameMatcher classNameMatcher)
- prihvati (uzorak uzorka)
- accept(String… obrasci)
Podrazumijevano, dekoder će sada odbaciti sve klase osim ako nije eksplicitno dozvoljeno.
- Procijenite korištenje aplikacije
Na aplikacije koje ne koriste metodu IoBuffer#getObject() ili ProtocolCodecFilter sa ObjectSerializationCodecFactory ne utiče. Sprovođenje internog pregleda može pomoći da se suzi obim problema.
Na sreću, potprojekti FtpServer, SSHd i Vysper pod okriljem Apache MINA potvrđeno je da ova ranjivost nije pogođena.
Ova ranjivost naglašava rizike povezane sa nesigurnom deserializacijom u Java aplikacijama.
Organizacije moraju dati prioritet redovnim ažuriranjima, primijeniti stroge sigurnosne politike i pregledati korištenje biblioteka trećih strana kako bi se zaštitile od sličnih prijetnji.
Izvor: CyberSecurityNews
