Apache OpenWhisk漏洞在云平台IBM Cloud中允许恶意攻击者覆盖并执行任意代码

  • A+
所属分类:网络安全新闻
腾讯云网站解决方案帮您轻松应对建站成本高/网络不稳定/安全漏洞多/单点部署无冗余等常见问题,满足电商/直播/教育等日均PV1-100万的网站部署需求。


成都、重庆区云产品3折特惠,全新机型计算提速,最高睿频可达3.7GHz

Apache OpenWhisk漏洞在云平台IBM Cloud中允许恶意攻击者覆盖并执行任意代码

研究人员发现Apache OpenWhisk无服务器云平台中的两个漏洞可能允许恶意攻击者覆盖并执行任意代码。

Apache OpenWhisk是一个开源平台,旨在执行代码以响应事件。该平台处理基础架构和服务器,以便用户可以专注于开发其应用程序。

IBM的云功能功能即服务(FaaS)平台基于Apache OpenWhisk,使其易受攻击。

其中一个漏洞,跟踪为CVE-2018-11757,是由PureSec的研究人员发现的。另一个问题,CVE-2018-11756,是在对CVE-2018-11757进行调查时发现的。

Apache OpenWhisk开发人员和IBM都创建了可以防止攻击的补丁。

根据PureSec的说法,这些漏洞可能允许攻击者 - 在某些情况下 - 覆盖正在容器中执行的函数的源代码,并影响同一容器中的后续执行,即使它们是由不同的用户执行的。

成功利用漏洞可能导致敏感数据泄露,或者恶意逻辑的执行与合法操作的原始逻辑并行。

“此外,攻击者可能并行发起类似攻击,进而影响其他容器,将攻击转变为更持久或广泛的威胁,”PureSec解释说。

具体而言,PureSec表示,攻击者可能利用这些漏洞获取敏感的用户数据,例如密码,修改或删除信息,挖掘加密货币或启动分布式拒绝服务(DDoS)攻击。

OpenWhisk在Docker容器内运行每个动作(函数),并且与该函数的交互涉及可通过端口8080访问的REST接口。每个容器都有两个端点:/ init,它接收要执行的代码,和/ run,它接收参数为行动和执行代码。

如果攻击者可以在功能中发现漏洞,例如远程代码执行缺陷,他们可能会强制它在端口8080上向/ init接口发起本地HTTP请求并覆盖其源代码。

“[PureSec]研究表明,对于受影响的函数运行时,成功利用已经受到攻击的函数的攻击者(例如通过远程代码执行或劫持参数)可以替换容器内的运行代码,以便后续重用该容器的函数调用是现在使用新代码,“ Apache OpenWhisk的创建者之一Rodric CESAFE说道。

“Apache OpenWhisk社区对PureSec研究报告做出了快速响应,并审核了所有可用于功能的运行时。这包括Node.js,Python,Swift,Java,PHP以及即将添加的Ruby和Ballerina。所有运行时现在检测函数何时尝试从正在运行的容器内部(以PureSec描述的方式)变异自身,并统一生成警告消息,以便开发人员可以观察并响应此类尝试,如果其功能易受攻击为了编写漏洞,“CESAFE补充道。

CE安全网

发表评论

您必须登录才能发表评论!