Ανακαλύφθηκε μια κρίσιμη ευπάθεια ασφαλείας στο Apache StreamPark που θα μπορούσε να επιτρέψει στους εισβολείς να αποκρυπτογραφήσουν ευαίσθητες πληροφορίες και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στο σύστημα.
Η ευπάθεια προέρχεται από τη χρήση ενός κωδικοποιημένου κλειδιού κρυπτογράφησης στην εφαρμογή, το οποίο επιτρέπει στους παράγοντες απειλών να παρακάμπτουν τους ελέγχους ασφαλείας μέσω αντίστροφης μηχανικής ή ανάλυσης κώδικα.
Η ευπάθεια, η οποία παρακολουθείται ως CVE-2025-54947, επηρεάζει τις εκδόσεις 2.0.0 έως 2.1.7 του Apache StreamPark.
Το ελάττωμα προκύπτει επειδή το σύστημα βασίζεται σε ένα σταθερό, αμετάβλητο κλειδί για λειτουργίες κρυπτογράφησης αντί να εφαρμόζει πρακτικές δημιουργίας δυναμικού κλειδιού ή ασφαλούς διαμόρφωσης.
| Πεδίο | Καθέκαστα |
|---|---|
| Αναγνωριστικό CVE | CVE-2025-54947 |
| Τύπος ευπάθειας | Κλειδί κρυπτογράφησης με σκληρό κώδικα |
| Επηρεασμένες εκδόσεις | Apache StreamPark 2.0.0 – 2.1.7 |
| Επιπτώσεις ευπάθειας | Αποκάλυψη πληροφοριών, Μη εξουσιοδοτημένη πρόσβαση |
Αυτή η αδυναμία σχεδιασμού δημιουργεί ένα σημαντικό παράθυρο έκθεσης για οργανισμούς που χρησιμοποιούν εκδόσεις που επηρεάζονται.
Ευπάθεια Apache StreamPark
Οι φορείς απειλών που εκμεταλλεύονται αυτήν την ευπάθεια θα μπορούσαν να αποκρυπτογραφήσουν ευαίσθητα δεδομένα που είναι αποθηκευμένα σε εγκαταστάσεις StreamPark ή να πλαστογραφήσουν κρυπτογραφημένες πληροφορίες για να εκτελέσουν μη εξουσιοδοτημένες λειτουργίες.
Ο αντίκτυπος εκτείνεται πέρα από την απλή έκθεση δεδομένων, καθώς οι εισβολείς θα μπορούσαν να αξιοποιήσουν την παραβιασμένη κρυπτογράφηση για να χειραγωγήσουν τη συμπεριφορά του συστήματος ή να κλιμακώσουν τα προνόμια εντός της υποδομής.
Apache StreamPark, ένα ενοποιημένο πλατφόρμα επεξεργασίας ροής που απλοποιεί τα μεγάλα δεδομένα streaming, αναπτύσσεται ευρέως σε εταιρικά περιβάλλοντα για επεξεργασία δεδομένων σε πραγματικό χρόνο.
Οι οργανισμοί που βασίζονται σε αυτήν την πλατφόρμα για κρίσιμες λειτουργίες δεδομένων αντιμετωπίζουν αυξημένο κίνδυνο μέχρι να εφαρμόσουν τις απαιτούμενες ενημερώσεις κώδικα ασφαλείας.
Η ομάδα ανάπτυξης του Apache StreamPark κυκλοφόρησε την έκδοση 2.1.7, η οποία επιλύει την ευπάθεια του κλειδιού με σκληρό κώδικα.
Οι ειδικοί σε θέματα ασφάλειας και οι διαχειριστές συστήματος είναι σθεναροί συμβουλεύτηκε να αναβαθμίσετε άμεσα τις επηρεαζόμενες εγκαταστάσεις στην έκδοση 2.1.7 για να εξαλείψετε τον κίνδυνο ασφάλειας.
Οι οργανισμοί θα πρέπει επίσης να διενεργούν έλεγχο ασφαλείας των αναπτύξεών τους στο StreamPark για να εντοπίσουν εάν έχει γίνει πρόσβαση σε ευαίσθητα δεδομένα μέσω αυτής της ευπάθειας.
Επιπλέον, συνιστάται η επανεξέταση των πρακτικών διαχείρισης κλειδιών κρυπτογράφησης σε όλη την υποδομή για να αποφευχθεί η εμφάνιση παρόμοιων τρωτών σημείων.
