PureSec ha hallado
dos fallos, ya corregidos, en OpenWhisk, la arquitectura FaaS de la fundación
Apache, con los que se podría ejecutar código arbitrario sustituyendo la
funciones a ejecutar por código malicioso.
FaaS, es un tipo de
arquitectura que conlleva todo lo que representa la familia de los sufijos aaS
(as a Service): Usar el ordenador de otro. Solo que esta vez nos abstraemos aun
más y no solo no tenemos que vérnosla con la creación y configuración de
servidores, ni eso. FaaS nos permite "ejecutar una función en la
nube" y nos cobran por los recursos que se han tenido que consumir para
atender la respuesta. Por supuesto, es serverless, ese vocablo que significa
que sí que hay servidores pero no los ves, ni los tocas, ni los hueles.
OpenWhisk es una
implementación en particular de esa arquitectura, creada por la fundación
Apache y usada sobre todo en IBM Cloud Functions, la nube de IBM, para dar
servicios del tipo serverless y FaaS. El concepto puede parecer chocante la
primera vez que lo lees. Programas tu función, al ejecutarla se sube a la nube,
esta levanta un contenedor Docker y la ejecuta devolviendo la respuesta. Esto
libera al cliente de tener que poseer y administrar recursos en local. Además,
se pueden programar eventos que disparen la ejecución de estas funciones.
PureSec ha encontrado
dos fallos en OpenWhisk que podrían permitir a un atacante sustituir el código
de la función a ejecutar, lo que abre la puerta a ataques que podrían ser
aprovechados para minar o causar denegación de servicio.
El fallo se encuentra
siempre y cuando la función legítima a ejecutar permita interactuar con el
interfaz REST del contenedor. En ese caso es posible enviar una nueva función a
ejecutar en el terminador /init que sustituirá a la función actual en curso.
Todos los contenedores posteriores que se levanten tendrán la nueva función
maliciosa como cuerpo a ejecutar.
Los fallos poseen los
CVE asignados: CVE-2018-11756 y CVE-2018-11757. Han sido corregidos y una nueva
versión de OpenWhisk se encuentra disponible para su descarga.
Más información:
- Apache OpenWhisk 'Action' mutability weakness https://www.puresec.io/hubfs/Apache%20OpenWhisk%20PureSec%20Security%20Advisory.pdf?t=1532417170859
Fuente: Hispasec