Amazon Web Services'in (AWS) Apache Airflow için Yönetilen İş Akışlarındaki (MWAA) tek tıklamayla ortaya çıkan bir güvenlik açığı, bilgisayar korsanlarının oturumları ele geçirmesine, uzaktan kod yürütmesine (RCE), kurumsal bulut ortamlarında yatay olarak hareket etmesine ve daha fazlasına olanak tanımış olabilir. Ancak tüm bunlar, AWS, Microsoft Azure ve Google Cloud'da yaygın olan, çok daha derinlere uzanan bir yanlış yapılandırmanın yalnızca bir tezahürüdür.
Sorun geniş bir işletme alanını etkiledi. 2014 yılında Airbnb'de icat edilen Apache Airflow, çoğu tahmine göre ayda yaklaşık 12 milyon indirmeye sahip açık kaynaklı bir iş akışı yönetim platformudur. Airflow kullanıcılarının yarısından fazlası veri mühendisidir — geri kalanı mimarları, geliştiricileri, DevOps uzmanlarını ve veri mühendislerini içeriyor ve üçte ikisi en az 200 çalışanı olan şirketlerde çalışıyor.
Bulut Hizmetlerinde Çerez Atma
MWAA'daki sorun göze çarpan bir sorundu: Tek oturum açma (SSO) özelliği, kimlik doğrulama sonrasında oturum çerezlerini yenilemedi ve herhangi bir saldırganın, kimlik doğrulaması yapmadan oturumu kesmek.
Büyük bulut sağlayıcıları tarafından sunulan farklı hizmetler genellikle aynı etki alanını paylaşır. Örneğin AWS'de Basit Depolama Hizmeti (S3), API Ağ Geçidi ve daha fazlası aynı üst öğeyi paylaşır. Sorun, bazı varlıkların istemci tarafında kod yürütülmesine izin vermesidir.
Tenable'ın kıdemli güvenlik araştırmacısı ve raporun yazarı Liv Matan, “Örneğin, saldırganın etki alanı 'attacker.shared.com', kurbanın etki alanı ise 'victim.shared.com'dur” diye açıklıyor. “Her iki web sitesi de 'paylaşılan' adı verilen ortak bir ana alan adı altında barındırılıyor. Bunu akılda tutarak, kendi web sitesini açıkça kontrol eden bir saldırgan, JavaScript kodunu çalıştırabilir ve kurbanları bu tehlikeli web sitesine çekebilir. Kurban, saldırganın web sitesini ziyaret edecek ve JavaScript kodu, paylaşılan üst alan adı 'shared.com' kapsamına alınan bir çerez ayarlayacaktır. Çerez daha sonra her iki alan adı için de kullanılabilir olacaktır.”
Çerezin kapsamının paylaşılan ana alan adına ayarlanmasına “çerez atma” adı verilir. Burada, varsayımsal saldırganımızın kurbanın Airflow Web panelini ele geçirmesine ve diğer şeylerin yanı sıra potansiyel olarak temel örnek üzerinde kod yürütmesine olanak tanır. Matan, bunun özellikle endişe verici olduğunu belirtiyor, çünkü “Apache Airflow, hassas kurumsal verileri işleyen veri hatlarını düzenlemek için sıklıkla kullanılıyor. Bu hatlara yapılan girdiler, müşteri bilgilerini, finansal verileri veya özel iş verilerini içerebilir. Benzer şekilde, veri boru hatlarının çıktıları da, hassas veya gizli işlenmiş veriler içerir.”
Ancak bu son keşif sadece MWAA ile ilgili değil. Böyle bir saldırgan, kurbanın ortamındaki paralel bulut hizmetlerine yönelmek için bu çerez fırlatma istismarını kullanabilir, bu da daha fazla veri ihlaline ve kurumsal kaynakların kötüye kullanılmasına yol açabilir. Yani daha temel düzeyde bu, genel olarak bir sorun olabilir. Amazon, Google ve Microsoft'un bulut platformları.
Amazon o zamandan beri bu güvenlik açığını giderdi ve kendisi ve Microsoft, temeldeki paylaşılan alan adı sorunu için yapısal bir düzeltme uyguladı. Ancak Google bunu yapmadı.
Çerez Fırlatma Düzeltmesi
Başlangıçta Mozilla tarafından Firefox'ta güvenliği ve gizliliği desteklemek için oluşturulan Genel Son Ek Listesi (PSL), kısa sürede bir web sitesine kaydolabileceğiniz tüm alan adı son ekleri için her yerde bulunan, topluluk tarafından yönetilen bir kurallar listesine dönüştü. Buna genel .com'un yanı sıra .co.uk, .info vb. ile github.io gibi özel son ekler de dahildir. Listenin bir kopyası tüm modern tarayıcılara entegre edilmiştir.
Bulut hizmeti sağlayıcıları böylece ana etki alanı sorunlarını bazı etki alanı mimarisi yeniden yapılandırmasıyla çözebilir veya yalnızca bir siteyi paylaşan ve farklı müşterileri PSL'ye dahil eden bulut hizmetlerinin etki alanlarını ekleyebilirler. Bundan sonra, tarayıcılar bunları genel bir son ek olarak tanıyabilir ve çerez atma işlemine neden olabilir.
AWS ve Azure yakın zamanda tam da bunu yaptı, ancak belirtildiği gibi Google Cloud bunu yapmadı. Tenable'a göre Google, “sorunu bir güvenlik hatası olarak takip edecek kadar 'ciddi' olarak görmüyor” dedi.
Dark Reading, Google'ın bulut ekibinden daha fazla yorum bekliyor.
Matan, “Bulut müşterileri bu önleyici yaklaşıma göre hareket etme konusunda bulut sağlayıcılarının insafına kalmış durumda” diye yakınıyor. “Aynı zamanda bulut müşterileri, riskleri en aza indirmek için Web uygulamalarını bulutta güvence altına alma sorumluluğuna da sahip.”
“Kullandığınız hizmet alanının PSL'de mevcut olup olmadığını kontrol edin” tavsiyesinde bulunuyor. “Değilse, AppSec mühendisleri için: Belirtilen risklere dikkat edin ve aynı siteden gelen her isteğin güvenilmez olduğunu varsayarak dikkatli olun.”