Quais etapas são necessárias para mitigar a exploração CVE-2021-44521 em UDFs do Cassandra?

Fundo

Um invasor pode explorar a vulnerabilidade descrita em CVE-2021-44521 se as funções definidas pelo usuário (UDFs) com script estiverem habilitadas em um nó em cassandra.yaml(desabilitado por padrão):

enable_user_defined_functions: true
enable_scripted_user_defined_functions: true

e os threads UDF estão desabilitados (o padrão é true):

enable_user_defined_functions_threads: false

Risco

Um cluster não é vulnerável à exploração nas seguintes condições:

• As UDFs estão desabilitadas (configuração padrão).
• As UDFs são habilitadas e os encadeamentos UDF são habilitados por padrão.

Para que um cluster seja vulnerável, um administrador optou por desabilitar os encadeamentos UDF em relação à recomendação e não é seguro fazê-lo.

Um invasor requer permissões para criar funções definidas pelo usuário e os nós são particularmente vulneráveis ​​se a autenticação não estiver habilitada no cluster:

authenticator: AllowAllAuthenticator

É possível que um invasor crie funções que possam executar código arbitrário em um nó com esse exploit.

Gambiarra

A desativação de encadeamentos UDF não é segura e não é recomendada, pois desativa efetivamente o gerenciador de segurança em Java.

Reative os encadeamentos UDF cassandra.yamle reinicie cada nó no cluster para que a alteração tenha efeito:

enable_user_defined_functions_threads: true

Solução

CVE-2021-44521 foi corrigido no Apache Cassandra 3.0.26, 3.11.12 e 4.0.2 ( CASSANDRA-17352 ).

Se um administrador quiser executar funções definidas pelo usuário sem threads (NÃO recomendado) em clusters corrigidos, um administrador precisará permitir explicitamente UDFs inseguras com:

allow_insecure_udfs: true

em cassandra.yaml. Se UDFs existentes exigirem acesso a java.lang.System(NÃO recomendado), defina:

allow_extra_insecure_udfs: true

Observe que não é necessário atualizar se os encadeamentos UDF estiverem habilitados (padrão) em um cluster.