צ'קמרקס חושפת שתי פרצות אבטחה בApache Unomi

פרצות האבטחה איפשרו לתוקפים להשתלט מרחוק על השרת ללא כל הזדהות, ובכך לפגוע באופן מוחלט בסודיות, בשלמותו ובנגישותו של השירות

יוג'ין רוז'בסקי. צילום: צ'קמרקס

חברת צ'קמרקס (Checkmarx) חושפת שתי פרצות אבטחה קריטיות באפאצ'י יונומי (Apache Unomi), פלטפורמה לאיסוף מידע על משתמשים המבוססת קוד פתוח בשפת ג'אווה. יונומי כוללת אינטגרציות הדוקות עם מערכות אחרות, לרבות אינטגרציה עם מערכות שונות לאחסון וניתוח דאטה שנמצאות לרוב ברשת הפנימית.

פרצות האבטחה איפשרו לתוקפים להשתלט מרחוק על השרת ללא כל הזדהות, ובכך לפגוע באופן מוחלט בסודיות, בשלמותו ובנגישותו של השירות, ולגשת ישירות למערכת ההפעלה של השרת. הפרצה שהתגלתה מופעלת בנקודת קצה שנועדה להיות זמינה עבור הזנה של מידע ובשביל לאפשר לשירותים אחרים לתשאל את המערכת, ולכן בהכרח תהיה חשופה למתקפה ברוב המקרים.

הפרצה מאפשרת לתוקף להזריק קוד דרך שפת ביטויים שנקודת הקצה הנ"ל מעבדת, ובכך להפעיל קוד זדוני, לרבות פקודות מערכת הפעלה, בשרת הפגיע. הצורך בנקודת הקצה הציבורית ועצם היותה פגיעה בצורה חמורה הפכו את יונומי לנקודת כניסה נוחה מאוד לרשתות ארגוניות, כאשר האינטגרציה ההדוקה שלה עם שירותים אחרים הופכת אותה לאבן דרך נוספת עבור התוקפים לתנועה לרוחב הרשת הפנימית.

אפאצ'י יונומי היא פלטפורמת דאטה מבוססת קוד פתוח בשפת ג'אווה, שמיועדת לניהול מידע על לקוחות, לידים ואיסוף מידע על מבקרים, ובכך לעזור בהתאמה אישית של חווית הלקוח. ניתן להשתמש ביונומי לשילוב התאמה אישית וניהול פרופילים במערכות שונות כגון CMS, CRM, מערכות מעקב אחר בעיות, אפליקציות סלולריות וכו'.

יונומי מותאמת בקלות גם לסקלאביליות של ארגונים הצומחים במהירות, תוך אינטגרציה נוחה עם מערכות הארגון. בהצהרה לעיתונות בשנה שעברה, קרן התוכנה אפאצ'י הודיעו שאפאצ'י יונומי עוזב את שלב האינקובציה, ומצטרף לקבוצת המיזמים הראשיים של הקרן. עם חשיפת הפרצה, הודיעה צ'קמרקס לאפאצ'י על הממצאים וליוותה אותה לאורך כל תהליך התיקון, שהושלם לפני מספר ימים.

לדברי חוקר אבטחת האפליקציות יוג'ין רוז'בסקי מצ'קמרקס, "חשיפה ותיקון של הפרצה הזו חשובים, כיוון שהמערכת ניתנת לניצול מאוד משמעותי, בצורה שהיא בהכרח זמינה לגישה מרחוק, וללא שום הזדהות".

למחקר המלא.