在广泛使用的数据处理和分发系统 Apache NiFi 中新发现的一个漏洞,可能允许未经授权访问敏感信息。该漏洞被追踪为 CVE-2024-56512,影响 1.10.0 至 2.0.0 的所有 NiFi 版本。全球数以千计的组织都在使用 NiFi 自动化数据管道,用于各种目的,包括网络安全、可观测性甚至生成式人工智能。该漏洞破坏了平台的授权检查,可能会允许恶意行为者访问敏感数据。该漏洞源于在 NiFi 中创建新流程组时缺乏细粒度授权。攻击者可以利用这一漏洞:访问参数上下文: 即使不引用特定参数值,攻击者也能通过绑定到参数上下文下载非敏感参数。利用未经授权的控制器服务和参数提供程序: 通过引用现有的控制器服务或参数提供程序,攻击者可以绕过授权并访问这些组件。虽然该漏洞仅限于拥有创建流程组权限的验证用户,但它对依赖基于组件的授权策略的组织构成了重大风险。利用该漏洞可能会导致数据泄露、关键系统的未经授权访问以及重要数据管道的中断。Apache NiFi 团队已在 2.1.0 版本中解决了这一漏洞。强烈建议用户立即升级到该版本。CVE-2024-56512 的发现突出表明,在管理敏感数据和操作流程的系统中,强大的授权机制至关重要。由于 Apache NiFi 为从金融、医疗保健到制造和政府等行业的数据管道提供支持,因此确保这些工作流的安全性至关重要。使用 Apache NiFi 的组织不仅应使用建议的补丁,还应评估其更广泛的安全态势。采用积极主动的网络安全方法(包括定期更新、审计和严格的访问控制)可以降低类似漏洞带来的风险。
