Bulut Güvenliği, Güvenlik Operasyonları
Azure Data Factory’nin Apache Hava Akışı Entegrasyon Kusuru Bulut Ortamlarını Açığa Çıkarabilir
Anviksha Daha Fazla (AnvikshaDevamı) •
18 Aralık 2024
Güvenlik araştırmacıları, Apache Airflow iş akışı yönetim platformuyla Microsoft Azure entegrasyonunda artık çözülen güvenlik açıklarının, saldırganların artan karmaşıklığını gösterdiğini söylüyor.
Ayrıca bakınız: Container’a Güvenin: Bulut ve Veri Güvenliği Kısıtlamalarının Aşılması
Palo Alto Networks’ün 42. Biriminden araştırmacılar, saldırıların saldırganların “Airflow Azure Kubernetes Hizmeti (AKS) kümesinin tamamı üzerinde gölge yöneticiler olarak kalıcı erişim” kurmasına olanak tanıyabileceğini söyledi.
Azure Data Factory, çeşitli kaynaklar arasında veri aktarımına olanak tanıyan veri işlem hatlarını yönetmek için tasarlanmış bir hizmettir. Açık kaynak Apache Airflow, karmaşık iş akışlarının planlanmasını ve koordinasyonunu yönetir.
Microsoft, Azure Data Factory’nin Apache Airflow entegrasyonundaki güvenlik açıklarını düşük önem derecesine sahip olarak değerlendirdi ancak Unit 42 araştırmacıları, kusurların bilgisayar korsanlarının kötü amaçlı yazılım dağıtmasına ve verileri çalmasına olanak verebileceğini söyledi.
Güvenlik açıkları, izinlerin yanlış yapılandırıldığı Airflow kümesi içindeki Kubernetes rol tabanlı erişim denetimindeki sorunlardan kaynaklanıyor.
Araştırmacılar, Azure Data Factory’deki Apache Airflow örneklerinin yapılandırılma biçiminden kaynaklanan bir güvenlik sorunu belirledi. Airflow’un değiştirilemeyen varsayılan ayarları, Airflow çalıştırıcısına atanan güçlü bir “küme yöneticisi” rolüne bağlandı. Bu yapılandırma, sistemden yararlanan herkesin Airflow kümesi ve ilgili altyapı üzerinde tam kontrol elde etmek için küme yöneticisi rolünü kullanabileceği anlamına geliyordu. Katı ve aşırı izin veren varsayılan kurulum, saldırganların ayrıcalıkları yükseltmek ve ortamı tehlikeye atmak için kullanabilecekleri kritik bir güvenlik açığı oluşturdu.
Birim 42 araştırmacıları, saldırganların Airflow’u barındıran Azure Kubernetes kümesine erişim elde etmeleri halinde, günlükleri ve ölçümleri yöneten kritik bir Azure hizmeti olan Cenevre’yi manipüle etmek için bu erişimden yararlanabileceklerini söyledi. Bu, saldırganların izlerini kapsayan günlük verilerini değiştirmesine veya hassas Azure kaynaklarına erişmesine olanak tanıyarak bulut ortamını daha da tehlikeye atabilir.
Araştırmacılar ayrıca, kritik günlüklerin ve ölçümlerin yönetilmesinden sorumlu olan Azure’un dahili Cenevre hizmetindeki kusurları da tespit etti. Cenevre’yi koruyan zayıf kimlik doğrulama mekanizmaları riski artırdı ve saldırganların güvenlik kontrollerini atlayıp sistemi istismar etmesini kolaylaştırdı. Bu birleştirilmiş kusurlar, saldırganların ayrıcalıkları artırmasına, hassas bilgileri tehlikeye atmasına ve etkilenen bulut ortamları üzerinde yönetim kontrolü ele geçirmesine olanak tanıyabilir.
Birim 42, güvenlik açıklarının çevre savunmasının yeterli olmadığının kanıtı olduğunu yazdı. Savunmacılar izinleri ve yapılandırmaları güvence altına almalı ve hangi hassas veri varlıklarının hangi bulut hizmetleriyle etkileşime girdiğini iyi anlamalıdır. “Düşmanlar temel taktiklerin ötesine geçerek daha karmaşık, hizmete özel saldırılara geçti” diye yazdı.
Birim 42, güvenlik açıklarını Microsoft’a açıkladı ve Microsoft Güvenlik Yanıt Merkezi bunları ele aldı.