Corregidos dos fallos graves en OpenWhisk

FaaS, es un tipo de arquitectura que conlleva todo lo que representa la familia de los sufijos aaS (as a Service): Usar el ordenador de otro. Solo que esta vez nos abstraemos aun más y no solo no tenemos que vérnosla con la creación y configuración de servidores, ni eso. FaaS nos permite “ejecutar una función en la nube” y nos cobran por los recursos que se han tenido que consumir para atender la respuesta. Por supuesto, es serverless, ese vocablo que significa que sí que hay servidores pero no los ves, ni los tocas, ni los hueles.

OpenWhisk es una implementación en particular de esa arquitectura, creada por la fundación Apache y usada sobre todo en IBM Cloud Functions, la nube de IBM, para dar servicios del tipo serverless y FaaS. El concepto puede parecer chocante la primera vez que lo lees. Programas tu función, al ejecutarla se sube a la nube, esta levanta un contenedor Docker y la ejecuta devolviendo la respuesta. Esto libera al cliente de tener que poseer y administrar recursos en local. Además, se pueden programar eventos que disparen la ejecución de estas funciones. 

PureSec ha encontrado dos fallos en OpenWhisk que podrían permitir a un atacante sustituir el código de la función a ejecutar, lo que abre la puerta a ataques que podrían ser aprovechados para minar o causar denegación de servicio.

El fallo se encuentra siempre y cuando la función legítima a ejecutar permita interactuar con el interfaz REST del contenedor. En ese caso es posible enviar una nueva función a ejecutar en el terminador /init que sustituirá a la función actual en curso. Todos los contenedores posteriores que se levanten tendrán la nueva función maliciosa como cuerpo a ejecutar.

Los fallos poseen los CVE asignados: CVE-2018-11756 y CVE-2018-11757. Han sido corregidos y una nueva versión de OpenWhisk se encuentra disponible para su descarga.