Questa vulnerabilità colpisce il server Pentaho Business Analytics di Hitachi Vantara, in particolare le versioni precedenti a 9.4.0.1, 9.3.0.2 e tutte le versioni 8.3.x. CVE-2022-43939 è attivamente sfruttata in ambienti reali, con attaccanti che utilizzano exploit proof-of-concept (PoC) pubblicamente disponibili per compromettere i sistemi vulnerabili.

Riassunto tecnico

CVE-2022-43939 è causata dal mancato corretto normalizzamento dei percorsi URL durante le decisioni di autorizzazione. Di conseguenza, un attaccante può creare URL dannosi per aggirare le restrizioni di sicurezza, ottenendo accesso non autorizzato. Inoltre, se combinata con un’altra vulnerabilità (CVE-2022-43769), la catena di exploit può portare all’esecuzione di codice remoto non autenticato, consentendo agli attaccanti di eseguire comandi arbitrari sul server colpito. Le implementazioni di proof-of-concept (ad esempio integrate nel Metasploit Framework) dimostrano come questa falla possa essere sfruttata per eseguire comandi come il lancio remoto di applicazioni.

Raccomandazioni

• Aggiornamento Immediato: Effettuare l’aggiornamento a Pentaho Business Analytics Server versione 9.4.0.1 o successiva per garantire che la vulnerabilità sia corretta.
• Rafforzare i Filtri di Autorizzazione: Implementare un insieme più restrittivo di filtri di autorizzazione all’interno della configurazione di sicurezza per ridurre il rischio di sfruttamento.
• Eseguire una Valutazione della Sicurezza: Rivedere la distribuzione attuale per individuare ulteriori esposizioni e verificare che tutte le configurazioni di sicurezza siano allineate alle best practice.
• Monitorare gli Indicatori di Compromissione (IoC): Considerando lo sfruttamento attivo, le organizzazioni dovrebbero monitorare i log per attività sospette, incluse tentativi di accesso non autorizzato ed esecuzioni di comandi inattese.