Šta se desilo?

Otkrivena je kritična ranjivost u Prefect verziji 3.6.23 koja omogućava napadačima da izvršavaju komande na radnim mašinama. Problem leži u klasi GitRepository koja ne validira pravilno korisničke ulaze - konkretno parametre `commit_sha` i `directories` koji se prosleđuju git komandama. Nedostatak provere omogućava injekciju произvolјnih git zastavica i izvršavanje spoljnih programa.

Koga pogađa?

Ranjivost pogađa sve organizacije koje koriste Prefect verziju 3.6.23. Posebno su osetljive multi-tenant okruženja sa deljenim work pool-ima, jer svaki korisnik sa dozvolom za pravljenje deployment-a može da napravi štetu na zajedničkim radnim resursima. Napadač ne treba pristup fizičkim mašinama već samo dozvolu unutar samog sistema.

Kako se zaštititi?

  • Odmah ažurirajte Prefect na verziju noviju od 3.6.23
  • Ograničite dozvole za pravljenje deployment-a samo na pouzdane korisnike
  • Pregledajte pristupe i dozvole u multi-tenant okruženjima
  • Pratite log aktivnosti za neobične git komande na radnim mašinama
  • Izolujte work pool resurse po tenanetima ako je moguće

Tehnički detalji

Ranjivost je locirana u GitRepository storage klasi gde parametri `commit_sha` i `directories` nemaju odgovarajuću validaciju i ne koriste `--` separator za razdvajanje korisničkog ulaza od git zastavica. Napadač može koristiti zastavice kao `--upload-pack` za izvršavanje произvolјnih programa. CVSS skor je 9.9 sa klasifikacijom CRITICAL, što označava najveću ozbiljnost.

Preporuka Sajber Radara

Ova ranjivost zahteva neodložno delovanje - odmah ažurirajte Prefect sistem i preispitajte korisničke dozvole u vašem okruženju. Ako koristite multi-tenant arhitekturu, hitno proverite ko ima pristup deployment funkcionalnostima.