Araştırmacılar, Azure Data Factory Apache Airflow entegrasyonunda “Kirli DAG” olarak adlandırılan ve saldırganların yönlendirilmiş döngüsel olmayan bir grafik (DAG) dosyasına yetkisiz yazma izinleri almasına veya güvenliği ihlal edilmiş bir hizmet sorumlusu kullanmasına olanak tanıyan yeni güvenlik açıklarını ortaya çıkardı.
Güvenlik açıkları, saldırganların Azure altyapısı üzerinde yönetici yetkisini gölgelemesine olanak tanıyarak kötü amaçlı yazılım dağıtımına, veri sızıntısına ve verilere yetkisiz erişime neden olabilir.
Palo Alto Networks, Cyber Security News ile paylaşılan bir raporda, “Bu kusurlardan yararlanmak, saldırganların Airflow Azure Kubernetes Service (AKS) kümesinin tamamında gölge yöneticiler olarak kalıcı erişim elde etmesine olanak tanıyabilir” dedi.
“Bu, veri sızdırma, kötü amaçlı yazılım dağıtımı veya küme içindeki gizli operasyonlar gibi kötü niyetli faaliyetlere olanak sağlayabilir”.
Azure Data Factory Hava Akışı Altyapısı Saldırı Süreci
Data Factory, müşterilerin kaynaklar arasında veri taşırken veri işlem hatlarını yönetmelerine olanak tanıyan Azure tabanlı bir veri entegrasyon aracıdır.
Azure Data Factory, Azure tarafından yönetilen bir AKS kümesi olarak dağıtılan, yönetilen bir Airflow örneği entegrasyonu sağlar.
API güvenlik açığı ve Sızma Testi için En İyi Uygulamalar Konulu Ücretsiz Web Semineri: Ücretsiz Kayıt
Apache Airflow, karmaşık iş akışlarının planlanmasına ve düzenlenmesine olanak tanıyan açık kaynaklı bir platformdur. Bu, kullanıcıların Python kodlu DAG’leri kullanarak işleri yönetmelerine ve planlamalarına olanak tanır.
DAG dosyaları, görevlerin tamamlanması gereken sırayı, görevler arasındaki bağımlılıkları ve zamanlama kriterlerini gösterir.
Araştırmacılar tarafından Azure Data Factory’de aşağıdakiler de dahil olmak üzere birçok kusur keşfedildi:
- Airflow kümesinde yanlış yapılandırılmış Kubernetes RBAC
- Azure’un dahili Cenevre hizmetinin yanlış yapılandırılmış gizli işlenmesi
- Cenevre için zayıf kimlik doğrulama
Saldırganlar, erişim sağladıktan sonra Azure’un kritik günlükleri ve analizleri yönetmekten sorumlu olan dahili Cenevre hizmetini de değiştirebilirler.
Bu, saldırganların günlük verilerini değiştirmesine veya diğer özel Azure kaynaklarına erişmesine olanak tanıyabilir.
Başlangıçta, içe aktarıldığında uzak sunucuya otomatik bir ters kabuk başlatan bir DAG dosyası oluşturmak, ardından DAG dosyasının Airflow kümesiyle özel bir GitHub deposuna yüklenmesi gerekir.
Saldırganlar DAG dosyalarına iki farklı şekilde erişebilir ve bunları değiştirebilir: Dosyalar için bir paylaşılan erişim imzası (SAS) belirteci veya yazma izinlerine sahip bir birincil hesap kullanılarak, DAG’ın bulunduğu depolama hesabına yazma izinleri alınabilir.
Ayrıca, Git deposuna erişmek için yanlış yapılandırılmış bir deponun veya sızdırılmış kimlik bilgilerinin kullanılması. Kötü amaçlı DAG dosyasını içeren dizin, saldırgan yeni bir DAG dosyası oluşturduktan veya mevcut bir dosyayı değiştirdikten sonra otomatik olarak içe aktarılır.
Araştırmacılar, bölmenin hizmet hesabının küme üzerinde tam kontrole izin veren küme yöneticisi izinlerine sahip olduğunu buldu.
Aşağıdaki şekilde görüldüğü gibi pod oluşturmak, Kubernetes secret’larına erişim sağlamak ve yeni kullanıcılar eklemek bu izinler arasındaydı.
PostgreSQL arka uç şifresi ve Airflow alanına yönelik TLS sertifikaları gibi Airflow ile ilgili diğer sırlar da gözlemlendi.
Belirlenen temel güvenlik sorununa yanıt olarak Microsoft, “yukarıdakilerin yalnızca araştırmacının kümesine özgü olduğunu” vurguladı.
Tersine mühendislik sayesinde araştırmacılar Cenevre API çağrılarını yeniden oluşturabildiler.
API uç noktaları tarafından ortaya çıkarılacak daha fazla Azure kaynağı keşfedildi. Bazıları, depolama hesapları ve olay hub’ları gibi dahili Azure hizmetlerine yazma erişimi sağlar.
(Kaynak: Palo Alto Ağları)
Bu nedenle, yalnızca kümenin çevresini güvence altına almanın ötesine geçen kapsamlı bir koruma stratejisinin uygulanması zorunludur.
- Gelecekteki sorunların (hem bulutta hem de küme içinde) belirlenmesine ve durdurulmasına yardımcı olmak için politika ve denetim motorlarının kullanılmasının yanı sıra ortamın kendi içindeki haklar ve yapılandırmaların korunması.
- Hangi verinin hangi veri hizmeti tarafından işlendiğinin belirlenmesi ve çeşitli bulut hizmetleriyle iletişim kuran hassas veri varlıklarının korunması.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin