Vulnerabilidad en AWS Firehose Receiver de OpenTelemetry Collector (CVE-2024-45043)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-200
Revelación de información
Fecha de publicación:
28/08/2024
Última modificación:
29/08/2024
Descripción
El módulo AWS Firehose Receiver de OpenTelemetry Collector sirve para ingerir mensajes de flujo de entrega de AWS Kinesis Data Firehose y analizar los registros recibidos según el tipo de registro configurado. `awsfirehosereceiver` permite solicitudes remotas no autenticadas, incluso cuando está configurado para requerir una clave. OpenTelemetry Collector se puede configurar para recibir métricas de CloudWatch a través de un flujo de AWS Firehose. Firehose establece el encabezado `X-Amz-Firehose-Access-Key` con una cadena configurada arbitraria. El módulo awsfirehosereceiver de OpenTelemetry Collector se puede configurar opcionalmente para requerir esta clave en las solicitudes entrantes. Sin embargo, cuando esto está configurado, **aún acepta solicitudes entrantes sin clave**. Solo se ven afectados los usuarios de OpenTelemetry Collector configurados con el módulo `awsfirehosereceiver` “alfa”. Este módulo se agregó en la versión v0.49.0 de la distribución “Contrib” (o puede incluirse en compilaciones personalizadas). Existe el riesgo de que usuarios no autorizados escriban métricas. Las métricas cuidadosamente manipuladas podrían ocultar otras actividades maliciosas. No existe riesgo de exfiltración de datos. Es probable que estos endpoints queden expuestos a la Internet pública, ya que Firehose no admite endpoints HTTP privados. Se introdujo una solución en PR #34847 y se lanzó con v0.108.0. Se recomienda a todos los usuarios que actualicen. No existen workarounds conocidos para esta vulnerabilidad.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Referencias a soluciones, herramientas e información
- https://docs.aws.amazon.com/firehose/latest/dev/controlling-access.html#using-iam-http
- https://docs.aws.amazon.com/firehose/latest/dev/httpdeliveryrequestresponse.html
- https://github.com/open-telemetry/opentelemetry-collector#alpha
- https://github.com/open-telemetry/opentelemetry-collector-contrib/pull/34847
- https://github.com/open-telemetry/opentelemetry-collector-contrib/security/advisories/GHSA-prf6-xjxh-p698
- https://github.com/open-telemetry/opentelemetry-collector-contrib/tree/main/receiver/awsfirehosereceiver
- https://github.com/open-telemetry/opentelemetry-collector-releases/pull/74
- https://github.com/open-telemetry/opentelemetry-collector-releases/releases/tag/v0.108.0
- https://github.com/open-telemetry/opentelemetry-collector-releases/tree/main/distributions/otelcol-contrib