Microsoft’un yönteminde üç kusur keşfedildi Azure tabanlı veri entegrasyonu hizmeti, açık kaynaklı bir iş akışı düzenleme platformundan yararlanıyor; bir saldırganın şirketlerin Azure bulut altyapıları üzerinde yönetimsel kontrol elde etmesine olanak tanıyarak işletmeleri veri hırsızlığına, kötü amaçlı yazılım dağıtımına ve yetkisiz veri erişimine maruz bırakabilirdi.
Palo Alto Networks’ün 42. Birimindeki araştırmacılar keşfetti güvenlik açıkları Azure Data Factory’nin Apache Airflow entegrasyonunda bunlardan ikisi yanlış yapılandırmaydı ve üçüncüsü zayıf kimlik doğrulaması içeriyordu. Data Factory, kullanıcıların farklı kaynaklar arasında bilgi taşırken veri hatlarını yönetmesine olanak tanırken Apache Airflow, karmaşık iş akışlarının planlanmasını ve düzenlenmesini kolaylaştırır.
Microsoft, kusurları düşük önem derecesine sahip güvenlik açıkları olarak sınıflandırırken Unit 42 araştırmacıları, bunların başarılı bir şekilde kullanılmasının, bir saldırganın Airflow Azure Kubernetes Service (AKS) kümesinin tamamı üzerinde gölge yönetici olarak kalıcı erişim elde etmesine olanak sağlayabileceğini buldu. ortaya çıkardılar 17 Aralık’ta yayınlanan bir blog yazısında.
Özellikle Data Factory’de keşfedilen kusurlar şunlardı: Kubernet’ler Airflow kümesinde rol tabanlı erişim denetimi (RBAC); kritik günlüklerin ve ölçümlerin yönetilmesinden sorumlu olan Azure’un dahili Cenevre hizmetinin yanlış yapılandırılmış gizli işlenmesi; ve Cenevre için zayıf kimlik doğrulama.
Yetkisiz Azure Bulut Erişimi Zaten Azaltıldı
Araştırmacılar, Airflow örneğinin varsayılan, değiştirilemez yapılandırmaları kullanması ve küme yöneticisi rolünün Airflow çalıştırıcısına eklenmesinin “Airflow kümesini ve ilgili altyapıyı kontrol etmek için” manipüle edilebilecek “bir güvenlik sorununa neden olduğunu” açıkladı.
Birim 42 yapay zekası ve güvenlik araştırma yöneticisi Ofir Balassiano ve kıdemli güvenlik araştırmacısı David Orlovsky, bir saldırganın kümeyi ihlal edebilmesi durumunda Cenevre’yi manipüle ederek saldırganların “günlük verileriyle oynamasına veya diğer hassas Azure kaynaklarına erişmesine” olanak tanıyabileceğini yazdı. yazı.
Genel olarak kusurlar, bir kümeye yetkisiz erişimi önlemek için hizmet izinlerini yönetmenin ve bulut ortamındaki kritik üçüncü taraf hizmetlerinin operasyonlarını izlemenin önemini vurguluyor.
Birim 42, Microsoft Azure’a kusurlar hakkında bilgi verdi ve bunlar sonuçta Microsoft Güvenlik Yanıt Merkezi tarafından çözüldü. Araştırmacılar, güvenlik açıklarını azaltmak için hangi düzeltmelerin yapıldığını belirtmediler ve Microsoft, yorum taleplerine hemen yanıt vermedi.
Siber Saldırganlar İlk İdari Erişimi Nasıl Elde Ediyor?
İlk yararlanma senaryosu, bir saldırganın Apache Airflow tarafından kullanılan yönlendirilmiş döngüsel olmayan grafik (DAG) dosyasına yetkisiz yazma izinleri elde etme yeteneğinde yatmaktadır. DAG dosyaları iş akışı yapısını Python kodu olarak tanımlar; görevlerin yürütülmesi gereken sırayı, görevler arasındaki bağımlılıkları ve zamanlama kurallarını belirtirler.
Saldırganların DAG dosyalarına erişmenin ve bunları kurcalamanın iki yolu vardır. Yazma izinlerine sahip bir ana hesaptan yararlanarak DAG dosyalarını içeren depolama hesabına yazma izinleri elde edebilirler; veya bir DAG dosyasına geçici ve sınırlı erişim sağlayan bir paylaşılan erişim imzası (SAS) belirtecini kullanabilirler.
Araştırmacılar, bu senaryoda, bir DAG dosyasına müdahale edildiğinde “DAG dosyaları kurban tarafından içe aktarılana kadar hareketsiz kalır” diye açıkladı.
İkinci yol, sızdırılmış kimlik bilgileri veya yanlış yapılandırılmış bir depo kullanarak Git deposuna erişim sağlamaktır. Bu meydana geldiğinde, saldırgan kötü amaçlı bir DAG dosyası oluşturabilir veya mevcut bir dosyayı değiştirebilir ve kötü amaçlı DAG dosyasını içeren dizin otomatik olarak içe aktarılır.
Saldırı akışında Birim 42 araştırmacıları şunları kullandı: Git deposunun kimlik bilgileri sızdırıldı Bir DAG dosyasına erişme senaryosu. Gönderide “Bu durumda, saldırgan ele geçirilen DAG dosyasını değiştirdiğinde Airflow dosyayı yürütür ve saldırgan bir ters kabuk alır” diye açıkladılar.
Temel istismar iş akışı, saldırganın öncelikle uzak sunucuya ters kabuk açan ve içe aktarıldığında otomatik olarak çalışan bir DAG dosyası oluşturmasını içerir. Kötü amaçlı DAG dosyası daha sonra Airflow kümesine bağlı özel bir GitHub deposuna yüklenir.
Araştırmacılar, “Airflow, DAG dosyasını bağlı Git deposundan otomatik olarak içe aktarıp çalıştırarak Airflow çalışanında ters bir kabuk açıyor” diye açıkladı. “Bu noktada, bir Airflow çalışanına eklenen Kubernetes hizmet hesabı sayesinde küme yöneticisi ayrıcalıkları kazandık.”
Saldırı daha sonra buradan yükselerek bir kümeyi ele geçirebilir; kripto madenciliği veya diğer kötü amaçlı yazılımları çalıştırmak için gölge iş yükleri oluşturmak amacıyla gölge yönetici erişimini kullanın; kurumsal buluttan veri sızdırma; Araştırmacılar, daha fazla kötü amaçlı etkinlik için diğer Azure uç noktalarına ulaşmak amacıyla Cenevre’den yararlandıklarını yazdı.
Bulut Güvenliği Kümenin Ötesine Geçmeli
Bulut tabanlı saldırılar genellikle saldırganların saldırmasıyla başlar yerel yanlış yapılandırmalarve istismar akışı, tek bir düğüm veya küme içinde istismar edilen kusurlar nedeniyle tüm bulut ortamının nasıl riske maruz kalabileceğini bir kez daha vurguluyor.
Senaryo, Birim 42’ye göre, yalnızca bir bulut kümesinin çevresini güvenlik altına almanın ötesinde, saldırganların bu sınırı aşması durumunda ne olacağını dikkate alan daha kapsamlı bir bulut güvenliği yaklaşımına geçmenin önemini gösteriyor.
Araştırmacılar, bu stratejinin “ortamın kendi içindeki izinleri ve yapılandırmaları güvence altına almayı ve hem küme içinde hem de bulutta gelecekteki olayların tespit edilmesine ve önlenmesine yardımcı olmak için politika ve denetim motorlarının kullanılmasını” içermesi gerektiğini yazdı.
Kuruluşların ayrıca, hangi verinin hangi veri hizmetiyle işlendiğini anlamak için buluttaki farklı hizmetlerle etkileşime giren hassas veri varlıklarını da koruması gerektiğini eklediler. Bu, bulutun güvenliğini sağlarken hizmet bağımlılıklarının dikkate alınmasını sağlayacaktır.