Zle nakonfigurované inštancie toku vzduchu Apache unikajú poverenia pre obľúbené služby

Výskumníci v oblasti kybernetickej bezpečnosti v pondelok odhalili nesprávne konfigurácie v starších verziách inštancií Apache Airflow patriacich niekoľkým významným spoločnostiam v rôznych sektoroch, čo malo za následok odhalenie citlivých prihlasovacích údajov pre populárne platformy a služby, ako napr. Amazon Web Services (AWS), Binance, Google Cloud Platform (GCP), PayPal, Slack a Stripe.

“Tieto nezabezpečené prípady odhaľujú citlivé informácie o spoločnostiach z médií, financií, výroby, informačných technológií (IT), biotechnológií, elektronického obchodu, zdravotníctva, energetiky, kybernetickej bezpečnosti a dopravy,” uviedol Intezer v správe zdieľanej s The Hacker News. .

Apache Airflow, pôvodne spustený v júni 2015, je open source platforma na správu pracovných tokov, ktorá umožňuje programové plánovanie a monitorovanie pracovných tokov na AWS, GCP, Microsoft Azure a ďalších službách tretích strán. Je to tiež jeden z najpopulárnejších nástrojov na orchestráciu úloh, po ktorom nasledujú Luigi, Kubeflow a MLflow.

Stojí za to zdôrazniť, že zistenia koncernu Intezer odhalili Apache Airflow spravované jednotlivcami a organizáciami, čo spôsobilo únik poverení spojených s rôznymi aplikáciami a službami, a nenaznačuje slabinu samotných platforiem.

Niektoré z najbežnejších nezabezpečených praktík kódovania, ktoré odhalil Intezer, zahŕňajú používanie pevne zakódovaných hesiel databázy v kóde Pythonu na organizovanie pracovných postupov, ako aj vo funkcii nazvanej Premenné, poverenia s obyčajným textom v poli „Extra“ v časti Pripojenia a kľúče s čistým textom v verejne prístupné konfiguračné súbory (airflow.cfg).

Hlavným medzi obavami spojenými s nesprávne nakonfigurovanými inštanciami Airflow je únik poverení, čo z nich robí ideálnych kandidátov na zneužitie aktérmi hrozieb, ktorí môžu zneužiť informácie na laterálne šírenie a získať prístup k účtom a databázam, čo vedie k porušovaniu zákonov o ochrane údajov a poskytuje útočníkom prehľad o nástrojoch a balíkoch organizácií, ktoré by mohli byť neskôr zneužité na útoky na dodávateľský reťazec.

„Ak je viditeľný veľký počet hesiel, aktér hrozby môže tieto údaje použiť aj na detekciu vzorov a bežných slov na odvodenie iných hesiel,“ uviedli výskumníci Intezer. “Tieto môžu byť využité v slovníkových útokoch alebo útokoch hrubou silou proti iným platformám.”

Ešte znepokojujúcejšia je tiež možnosť, že malvér môže byť spustený v exponovaných produkčných prostrediach využitím funkcie Variables na úpravu premenných obrázkov kontajnera tak, aby ukazovali na iný obrázok s nepovoleným kódom.

Apache Airflow, pokiaľ ide o jeho časť, vyriešil veľa bezpečnostných problémov s verziou 2.0.0 ktorý bol vydaný v decembri 2020, takže je dôležité, aby používatelia softvéru aktualizovali na najnovšiu verziu a osvojili si postupy bezpečného kódovania, aby sa zabránilo odhaleniu hesiel.