PureSec ha hallado dos fallos, ya corregidos, en OpenWhisk, la arquitectura FaaS de la fundación Apache, con los que se podría ejecutar código arbitrario sustituyendo la funciones a ejecutar por código malicioso.
OpenWhisk es una implementación en particular de esa arquitectura, creada por la fundación Apache y usada sobre todo en IBM Cloud Functions, la nube de IBM, para dar servicios del tipo serverless y FaaS. El concepto puede parecer chocante la primera vez que lo lees. Programas tu función, al ejecutarla se sube a la nube, esta levanta un contenedor Docker y la ejecuta devolviendo la respuesta. Esto libera al cliente de tener que poseer y administrar recursos en local. Además, se pueden programar eventos que disparen la ejecución de estas funciones.
PureSec ha encontrado dos fallos en OpenWhisk que podrían permitir a un atacante sustituir el código de la función a ejecutar, lo que abre la puerta a ataques que podrían ser aprovechados para minar o causar denegación de servicio.
El fallo se encuentra siempre y cuando la función legítima a ejecutar permita interactuar con el interfaz REST del contenedor. En ese caso es posible enviar una nueva función a ejecutar en el terminador /init que sustituirá a la función actual en curso. Todos los contenedores posteriores que se levanten tendrán la nueva función maliciosa como cuerpo a ejecutar.
Los fallos poseen los CVE asignados: CVE-2018-11756 y CVE-2018-11757. Han sido corregidos y una nueva versión de OpenWhisk se encuentra disponible para su descarga.
Apache OpenWhisk ‘Action’ mutability weakness
Deja un comentario