Siber güvenlik araştırmacıları, Microsoft’un Azure Data Factory Apache Airflow entegrasyonunda, başarılı bir şekilde kullanılması durumunda bir saldırganın veri sızdırma ve kötü amaçlı yazılım dağıtımı da dahil olmak üzere çeşitli gizli eylemler gerçekleştirme becerisi kazanmasına olanak tanıyabilecek üç güvenlik zayıflığını ortaya çıkardı.
Palo Alto Networks Birim 42, bu ayın başlarında yayınlanan bir analizde, “Bu kusurlardan yararlanmak, saldırganların Airflow Azure Kubernetes Service (AKS) kümesinin tamamında gölge yöneticiler olarak kalıcı erişim elde etmesine olanak tanıyabilir” dedi.
Microsoft tarafından düşük önem derecesine sahip olarak sınıflandırılsa da güvenlik açıkları aşağıda listelenmiştir:
- Airflow kümesinde yanlış yapılandırılmış Kubernetes RBAC
- Azure’un dahili Cenevre hizmetinin yanlış yapılandırılmış gizli işlenmesi ve
- Cenevre için zayıf kimlik doğrulama
Saldırgan, yetkisiz erişim elde etmenin yanı sıra, yeni bölmeler veya hesaplar oluştururken şüphe uyandırmaktan kaçınmak için günlük verilerini değiştirmek veya sahte günlükler göndermek için Cenevre hizmetindeki kusurlardan yararlanabilir.
İlk erişim tekniği, yönlendirilmiş bir döngüsel olmayan grafik (DAG) dosyası oluşturmayı ve bunu Airflow kümesine bağlı özel bir GitHub deposuna yüklemeyi veya mevcut bir DAG dosyasını değiştirmeyi içerir. Nihai hedef, içe aktarıldığı anda harici bir sunucuya ters kabuk başlatmaktır.
Bunu başarmak için, tehdit aktörünün öncelikle dosyalar için güvenliği ihlal edilmiş bir hizmet sorumlusu veya paylaşılan erişim imzası (SAS) belirteci kullanarak DAG dosyalarını içeren depolama hesabına yazma izinleri alması gerekir. Alternatif olarak sızdırılan kimlik bilgilerini kullanarak Git deposuna girebilirler.
Bu şekilde elde edilen kabuğun, bir Kubernetes bölmesindeki Airflow kullanıcısı bağlamı altında minimum izinlerle çalıştığı tespit edilse de, daha ileri analizler, Airflow çalıştırma bölmesine bağlı küme yöneticisi izinlerine sahip bir hizmet hesabını belirledi.
Bu yanlış yapılandırma, pod’a internet üzerinden erişilebilmesi gerçeğiyle birleştiğinde, saldırganın Kubernetes komut satırı aracı kubectl’i indirebileceği ve sonuçta “ayrıcalıklı bir pod konuşlandırarak ve sunucuya girerek” tüm kümenin tam kontrolünü ele geçirebileceği anlamına geliyordu. altta yatan düğüm.”
Saldırgan daha sonra bulut ortamının derinliklerine inmek için ana bilgisayar sanal makinesine (VM) kök erişiminden yararlanabilir, bazıları depolama hesaplarına ve olay hub’larına yazma erişimi sağlayan Cenevre dahil olmak üzere Azure tarafından yönetilen dahili kaynaklara yetkisiz erişim elde edebilir.
Güvenlik araştırmacıları Ofir Balassiano ve David Orlovsky, “Bu, karmaşık bir saldırganın savunmasız bir Airflow ortamını değiştirebileceği anlamına geliyor” dedi. “Örneğin, bir saldırgan yeni bölmeler ve yeni hizmet hesapları oluşturabilir. Ayrıca değişiklikleri küme düğümlerine kendileri uygulayabilir ve ardından herhangi bir alarm vermeden sahte günlükleri Cenevre’ye gönderebilir.”
“Bu sorun, yetkisiz erişimi önlemek için hizmet izinlerini dikkatli bir şekilde yönetmenin önemini vurguluyor. Ayrıca bu tür erişimi önlemek için kritik üçüncü taraf hizmetlerinin operasyonlarını izlemenin önemini de vurguluyor.”
Açıklama, Datadog Security Labs’ın Azure Key Vault’ta, Key Vault Katılımcısı rolüne sahip kullanıcıların API anahtarları, parolalar, kimlik doğrulama sertifikaları ve Azure Storage SAS belirteçleri gibi Key Vault içeriklerini okumasına veya değiştirmesine izin verebilecek bir ayrıcalık yükseltme senaryosunu ayrıntılı olarak açıklamasının ardından geldi. .
Sorun, Key Vault Katılımcısı rolüne sahip bir kullanıcının, erişim ilkeleriyle yapılandırılmış bir Anahtar Kasası üzerinden Key Vault verilerine doğrudan erişimi olmasa da, rolün kendisini Key Vault erişim ilkelerine ve erişime ekleme izinleriyle birlikte geldiğinin keşfedilmesidir. Key Vault verileri, kısıtlamayı etkili bir şekilde atlıyor.
Güvenlik araştırmacısı Katie Knowles, “Bir politika güncellemesi, anahtar kasasındaki verileri listeleme, görüntüleme, güncelleme ve genel olarak yönetme yeteneğini içerebilir” dedi. “Bu, Key Vault Katılımcısı rolüne sahip bir kullanıcının, hiçbir yetkisi olmamasına rağmen tüm Key Vault verilerine erişim kazanabileceği bir senaryo oluşturdu. [Role-Based Access Control] izinleri yönetme veya verileri görüntüleme izni.”
Microsoft o zamandan beri erişim politikası riskini vurgulamak için belgelerini güncelledi ve şunları belirtti: “Anahtar kasalarınıza, anahtarlarınıza, gizli dizilerinize ve sertifikalarınıza yetkisiz erişimi ve yönetimini önlemek için, Erişim Politikası izin modeli kapsamında anahtar kasalarına Katkıda Bulunan rolü erişimini sınırlamak önemlidir. “
Bu gelişme aynı zamanda Amazon Bedrock CloudTrail günlük kaydında, kötü amaçlı sorguları büyük dil modellerine (LLM’ler) yapılan meşru sorgulardan ayırmayı zorlaştıran ve böylece kötü aktörlerin herhangi bir uyarı vermeden keşif yapmasına olanak tanıyan bir sorunun keşfedilmesini de takip ediyor.
Sysdig araştırmacısı Alessandro Brucato, “Özellikle, başarısız Bedrock API çağrıları, herhangi bir özel hata kodu sağlanmadan, başarılı çağrılarla aynı şekilde günlüğe kaydedildi.” dedi.
“API yanıtlarında hata bilgilerinin bulunmaması, CloudTrail günlüklerinde yanlış pozitifler oluşturarak tespit çabalarını engelleyebilir. Bu ayrıntı olmadan, güvenlik araçları normal etkinliği şüpheli olarak yanlış yorumlayabilir ve bu da gereksiz uyarılara ve gerçek tehditlerin potansiyel olarak gözden kaçırılmasına yol açabilir.”