CVE-2022-47986

Суть уязвимости

CVE-2022-47986 представляет собой критическую уязвимость (CVSS 9.8), связанную с небезопасной десериализацией данных в формате YAML в компоненте IBM Aspera Faspex версии 4.4.2 Patch Level 1 и более ранних.

Проблема возникает из-за использования метода YAML.load в Ruby on Rails, который позволяет восстанавливать произвольные объекты. Удаленный неавторизованный злоумышленник может отправить специально сформированный API-запрос, содержащий вредоносную YAML-нагрузку. Это приводит к выполнению произвольного кода (RCE) в контексте учетной записи, под которой запущен сервис Faspex.

Как исправить

Основным способом устранения уязвимости является обновление IBM Aspera Faspex до версий, в которых небезопасный метод десериализации заменен на безопасный или добавлены соответствующие проверки.

1. Перейдите на портал поддержки IBM и загрузите актуальное исправление.
2. Установите Faspex 4.4.2 Patch Level 2 или более позднюю версию.

Для Linux-систем процесс обновления обычно выглядит следующим образом:

rpm -Uvh faspex-4.4.2.16.8.600a771-1.x86_64.rpm

После установки обновления необходимо перезапустить службы:

asctl faspex:restart

Временные меры

Если немедленное обновление невозможно, рекомендуется применить следующие меры для снижения риска:

1. Ограничьте доступ к API-интерфейсам Faspex на сетевом уровне (Firewall/WAF), разрешив доступ только доверенным IP-адресам.
2. Настройте правила Web Application Firewall (WAF) для блокировки запросов, содержащих подозрительные YAML-теги (например, !ruby/object:) в теле запроса.
3. Проверьте логи веб-сервера на наличие обращений к эндпоинтам /package_relay/package_replies, которые часто используются в эксплойтах для данной уязвимости.

Проверка статуса служб для контроля состояния системы:

asctl faspex:status