Apache HertzBeat 1.8.0: ryzyko zdalnego wykonania poleceń przez szablony monitoringu

Wprowadzenie do problemu / definicja

Apache HertzBeat 1.8.0 znalazł się w centrum uwagi badaczy bezpieczeństwa po publikacji materiału pokazującego, że uwierzytelniony użytkownik może doprowadzić do wykonania dowolnych poleceń systemowych poprzez modyfikację szablonu monitoringu opartego na YAML. Problem dotyczy funkcji monitoringu skryptowego, w której zdefiniowana komenda jest uruchamiana lokalnie przez proces aplikacji.

Choć producent wskazuje, że taka możliwość mieści się w przyjętym modelu zaufania platformy, z perspektywy operacyjnej oznacza to bardzo wysokie ryzyko. W środowiskach wieloużytkownikowych lub tam, gdzie do panelu administracyjnego dostęp ma więcej niż jedna osoba, taka funkcjonalność może zostać wykorzystana do przejęcia kontroli nad serwerem monitoringu.

W skrócie

• Uwierzytelniony użytkownik może zmodyfikować istniejący szablon monitoringu oparty na YAML.
• W przypadku monitoringu skryptowego możliwe jest wstawienie dowolnej komendy systemowej.
• Zmodyfikowany szablon może zostać uruchomiony po ponownym przypisaniu zadania kolektora lub utworzeniu nowej instancji monitoringu.
• W środowisku kontenerowym uruchomionym z wysokimi uprawnieniami skutki mogą prowadzić do pełnego przejęcia kontenera.

Kontekst / historia

Apache HertzBeat to platforma monitoringu agentless, która pozwala rozszerzać obsługiwane typy monitoringu za pomocą elastycznych szablonów YAML. Taka architektura daje administratorom dużą swobodę, ponieważ umożliwia budowanie własnych integracji bez konieczności tworzenia pełnoprawnych wtyczek czy modyfikowania kodu źródłowego aplikacji.

Jednocześnie właśnie ta elastyczność tworzy istotną powierzchnię ataku. Dokumentacja projektu jasno wskazuje, że użytkownicy konfigurujący platformę są traktowani jako podmioty zaufane, a własne szablony, skrypty i parametry mogą wywoływać skutki wynikające bezpośrednio z ich treści. W praktyce oznacza to, że część odpowiedzialności za bezpieczeństwo została przeniesiona na organizacje wdrażające system.

W wielu firmach monitoring nie jest jednak obsługiwany wyłącznie przez jednego administratora. Dostęp do platformy mogą mieć operatorzy NOC, zespoły SOC, administratorzy infrastruktury, a czasem także zewnętrzni partnerzy. W takim modelu funkcja umożliwiająca uruchamianie poleceń systemowych z poziomu edycji szablonu staje się realnym zagrożeniem, nawet jeśli formalnie nie została zakwalifikowana jako klasyczna luka typu unauthenticated RCE.

Analiza techniczna

Opublikowany scenariusz nadużycia koncentruje się na mechanizmie aktualizacji definicji aplikacji monitorującej zapisanej w YAML. Po zalogowaniu użytkownik może wysłać żądanie modyfikujące szablon i ustawić w nim protokół skryptowy. Następnie w polu odpowiedzialnym za wykonywaną komendę może umieścić własne polecenie systemowe.

Kluczowy problem polega na tym, że wartość komendy trafia do mechanizmu uruchamiania procesu bez odpowiednio restrykcyjnej walidacji i bez ograniczenia do bezpiecznego zestawu operacji. W opisywanym materiale wskazano, że polecenie jest przekazywane do mechanizmu wykonawczego wykorzystującego powłokę systemową, co otwiera drogę do pełnej iniekcji poleceń.

Istotne jest również to, w jaki sposób dochodzi do aktywacji zmodyfikowanego szablonu. Jeżeli w systemie istnieją już instancje monitoringu korzystające z danego typu, ponowne rozesłanie zadań kolektora może uruchomić nową komendę niemal natychmiast. Jeśli takich instancji nie ma, atakujący może utworzyć nowy monitor oparty na nadpisanym typie i w ten sposób wywołać wykonanie kodu.

W demonstracji skutki wykonania polecenia zostały potwierdzone przez zapis wyniku do pliku tymczasowego, a następnie jego odczyt z poziomu środowiska uruchomieniowego. Szczególnie niebezpieczny jest fakt, że w przykładowej konfiguracji kontenerowej proces działał z uprawnieniami roota. W takim układzie skuteczne nadużycie może oznaczać nie tylko wykonanie pojedynczej komendy, ale także pełne przejęcie kontenera, modyfikację konfiguracji, instalację trwałych mechanizmów dostępu lub pozyskanie poświadczeń przechowywanych przez platformę.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją jest możliwość wykonywania dowolnych poleceń na serwerze HertzBeat przez osobę posiadającą ważne dane logowania. W organizacjach, które traktują role operatorów i administratorów jako odseparowane, taki mechanizm może prowadzić do praktycznej eskalacji uprawnień i obejścia granic administracyjnych.

Ryzyko dodatkowo rośnie, gdy system został wdrożony bez odpowiedniego hardeningu. Szczególnie niebezpieczne są środowiska, w których aplikacja jest dostępna z internetu, działa na koncie uprzywilejowanym lub ma szeroki dostęp do zasobów hosta i danych uwierzytelniających do monitorowanych usług.

• przejęcie kontenera lub serwera monitoringu,
• manipulacja danymi telemetrycznymi i alertami,
• kradzież poświadczeń zapisanych w systemie,
• instalacja trwałych mechanizmów dostępu,
• wykorzystanie platformy jako punktu wyjścia do ruchu bocznego,
• zakłócenie działania procesów operacyjnych i bezpieczeństwa.

Z perspektywy biznesowej skutki mogą obejmować zarówno utratę widoczności nad infrastrukturą, jak i poważne naruszenie poufności danych. Serwer monitoringu często posiada dostęp do wielu segmentów środowiska, dlatego jego kompromitacja może mieć znacznie szerszy zasięg niż pojedyncza podatność w systemie pomocniczym.

Rekomendacje

Organizacje korzystające z Apache HertzBeat powinny traktować edycję szablonów i funkcje skryptowe jako działania uprzywilejowane. Należy założyć, że każdy użytkownik mający możliwość modyfikowania definicji YAML może potencjalnie uzyskać wpływ na wykonywanie poleceń po stronie serwera.

• ograniczyć dostęp do panelu zarządzania wyłącznie do zaufanych administratorów,
• usunąć konta współdzielone i wymusić indywidualną identyfikację operatorów,
• zmienić domyślne hasła oraz wdrożyć silną politykę uwierzytelniania,
• udostępniać interfejs tylko przez VPN, bastion lub wydzielony segment administracyjny,
• uruchamiać kontenery i procesy bez uprawnień roota,
• ograniczyć dostęp do wolumenów hosta, systemu plików i gniazd systemowych,
• monitorować operacje aktualizacji szablonów YAML i tworzenia nowych monitorów,
• prowadzić pełny audyt zmian w definicjach monitoringu,
• wyłączyć funkcje skryptowe tam, gdzie nie są niezbędne,
• wdrożyć reguły detekcyjne dla uruchomień powłoki i nietypowych procesów potomnych.

Warto również przeprowadzić przegląd istniejących szablonów, aby ocenić, czy nie zawierają poleceń systemowych lub konstrukcji, które można łatwo przekształcić w wektor nadużycia. Serwer monitoringu powinien być traktowany jak system wysokiego ryzyka, ponieważ często przechowuje dane dostępowe do wielu usług i urządzeń.

Podsumowanie

Przypadek Apache HertzBeat 1.8.0 pokazuje, że elastyczność konfiguracyjna oparta na YAML i monitoringu skryptowym może prowadzić do bardzo poważnych konsekwencji bezpieczeństwa. Uwierzytelniony użytkownik, który ma możliwość modyfikacji szablonu, może doprowadzić do wykonania własnych poleceń na serwerze monitoringu.

Nawet jeśli takie zachowanie zostało wpisane w model zaufania projektu, w praktyce dla wielu wdrożeń oznacza ono krytyczne ryzyko operacyjne. Dlatego kluczowe znaczenie mają ścisła kontrola dostępu, minimalizacja uprawnień procesu, izolacja środowiska oraz pełny monitoring i audyt wszystkich zmian związanych z szablonami i funkcjami skryptowymi.

Źródła

• https://www.exploit-db.com/exploits/52563
• https://hertzbeat.apache.org/docs/help/security_model/
• https://hertzbeat.apache.org/docs/
• https://hertzbeat.apache.org/docs/next/download
• https://github.com/apache/hertzbeat/releases/tag/1.8.0