Mới đây, các nhà nghiên cứu đã phát hiện ra lỗ hổng nghiêm trọng trong Apache ZooKeeper. Lỗ hổng với mã định danh là CVE-2023-44981, có thể mở ra các cánh cổng truy cập trái phép.
Lấy cảm hứng từ dịch vụ khóa Chubby của Google, ZooKeeper cung cấp dịch vụ cấu hình phân tán, dịch vụ đồng bộ hóa và đăng ký đặt tên. Nó giống như trung tâm điều khiển cho nhiều hệ thống phân tán, duy trì trạng thái chung và đảm bảo sự phối hợp hiệu quả.
Một trong những khía cạnh quan trọng của ZooKeeper là kho lưu trữ khóa-giá trị phân cấp, nơi các ứng dụng phân tán tận dụng để đồng bộ hóa các hoạt động của chúng. Để đảm bảo độ tin cậy, ZooKeeper ghi lại trạng thái của nó trong các tệp nhật ký cục bộ trên máy chủ của nó. Các máy chủ này sau đó truyền thông tin đến các máy khách, đảm bảo mọi phần của hệ thống luôn ở trong vòng lặp.
Theo các chuyên gia, bằng cách bỏ một phần phiên bản trong ID xác thực SASL, như ‘eve@EXAMPLE.COM‘, ZooKeeper sẽ cho phép ủy quyền mà không cần xác thực.
Sự giám sát này giống như để một backdoor mở. Bất kỳ endpoint tùy ý nào cũng có thể tham gia cụm và bắt đầu đưa ra các thay đổi sai. Về bản chất, điều này cho phép kẻ xâm nhập truy cập không kiểm soát để đọc và thay đổi cây dữ liệu. Đó là một mối đe dọa đáng kể, đặc biệt là với vai trò nền tảng của ZooKeeper trong nhiều hệ thống.
Nếu bạn đang chạy bất kỳ phiên bản nào sau đây của ZooKeeper, bạn có thể gặp rủi ro:
- Apache ZooKeeper 3.9.0
- Apache ZooKeeper 3.8.0 đến 3.8.2
- Apache ZooKeeper 3.7.0 đến 3.7.1
- Phiên bản Apache ZooKeeper trước 3.7.0
Người dùng được khuyến khích nâng cấp lên các phiên bản vá sau, giải quyết lỗ hổng:
– Apache ZooKeeper 3.9.1
– Apache ZooKeeper 3.8.3
– Apache ZooKeeper 3.7.2
Đối với những người không thể nâng cấp ngay lập tức, sẽ có một biện pháp thay thế. Đảm bảo rằng hoạt động liên lạc trong cụm của bạn được củng cố bằng cách cấu hình tường lửa. Nó sẽ hoạt động như một hàng rào bảo vệ, giảm thiểu tác động của lỗ hổng.