Vulnerabilità critica in Apache bRPC: esecuzione di comandi arbitrari sul server

Un team di ricerca di CyberArk Labs ha individuato una falla critica nel diffuso framework Apache bRPC, che permette l’esecuzione remota di comandi su un server. Il problema di sicurezza è stato classificato con l’identificatore CVE-2025-60021 e un livello di gravità pari a 9,8 secondo la scala CVSS.

La vulnerabilità è stata scoperta nell’URL del profiler heap /pprof/heap utilizzando Vulnhalla , uno strumento basato sull’intelligenza artificiale sviluppato da CyberArk Labs per analizzare l’output dell’analizzatore statico di CodeQL. Il problema ha interessato tutte le versioni di Apache bRPC precedenti alla 1.15.0.

La vulnerabilità consisteva nel fatto che il servizio di profilazione non riusciva a convalidare il parametro utente extra_options prima di includerlo nella riga di comando jeprof .

Apache bRPC è una libreria C++ open source ad alte prestazioni che aiuta gli sviluppatori a creare servizi backend che comunicano tramite RPC (chiamata di procedura remota).

Il framework è ampiamente utilizzato per la creazione di architetture di microservizi, in cui molti piccoli servizi comunicano costantemente tra loro. Per il debug e la risoluzione dei problemi in produzione, Apache bRPC include URL HTTP integrati come /pprof/*, che restituiscono varie informazioni diagnostiche, come profili della CPU, snapshot di memoria e altre statistiche di esecuzione.

Prima della patch, questo parametro veniva semplicemente aggiunto al comando nel formato —. Poiché questo comando veniva poi eseguito per generare i risultati della profilazione, caratteri shell speciali nell’input controllato dall’attaccante potevano modificare il comando eseguito, causando l’iniezione di comandi.

Sebbene gli URL di profilazione siano in genere destinati all’uso interno, possono essere esposti pubblicamente a causa di una configurazione errata. Al momento della stesura di questo articolo, il motore di ricerca Shodan mostrava 181 URL /pprof/heap accessibili pubblicamente e un totale di 790 URL /pprof/*.

Apache ha risolto il problema in bRPC 1.15.0 limitando il parametro extra_options a una piccola whitelist di opzioni jeprof supportate, impedendo il passaggio di input non attendibili al comando eseguito. Si consiglia agli utenti di eseguire l’aggiornamento ad Apache bRPC 1.15.0 o di applicare la patch dalla pull request #3101 se un aggiornamento immediato non è possibile.

È interessante notare che la vulnerabilità è stata scoperta utilizzando Vulnhalla, uno strumento che esegue CodeQL su larga scala e applica un livello di ordinamento basato su un modello linguistico di grandi dimensioni per dare priorità ai risultati che hanno maggiori probabilità di essere sfruttati. In questo caso, Vulnhalla ha segnalato il problema come vulnerabilità, attivando una revisione manuale per confermare il risultato.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research