Yaygın olarak kullanılan Apache Airflow örneklerinde kritik bir güvenlik gözetimi, AWS, Slack, PayPal ve diğer hizmetler gibi platformlar için kimlik bilgilerini ortaya koydu ve kuruluşları veri ihlallerine ve tedarik zinciri saldırılarına karşı savunmasız bıraktı.
Intezer’deki araştırmacılar, finans, sağlık, e-ticaret ve siber güvenlik gibi sektörlerde binlerce korunmasız örnek keşfettiler. Bu örnekler, modası geçmiş yapılandırmalara ve güvensiz kodlama uygulamalarına bağlı sistemik riskleri ortaya çıkarmıştır.
Yanlış yapılandırılmış Apache hava akışı sunucuları
Açık kaynaklı bir iş akışı düzenleme aracı olan Apache Airflow, görevleri otomatikleştirmek için Python tabanlı yönlendirilmiş asiklik grafikler (DAG’lar) kullanır. Bununla birlikte, yanlış yapılandırılmış örnekler, özellikle 2.0’dan önceki sürümleri çalışanlar, birden fazla saldırı yüzeyinde kimlik bilgilerini ortaya çıkarır:
DAG komut dosyalarında sabit kodlanmış sırlar: En yaygın sorun, doğrudan DAG koduna gömülü düz metin şifrelerini içerir. Örneğin, bir üretim ortamında bir PostgreSQL veritabanı kimlik bilgisi bulundu:
Bu tür uygulamalar, FERNET tuşlarını kullanarak kimlik bilgilerini şifreleyen Hava Akışı Güvenli Bağlantılar özelliğini atar.
Şifrelenmemiş değişkenler ve bağlantılar
Yeniden kullanılabilir parametreleri depolamak için tasarlanmış Airflow’un Değişkenler özelliği, genellikle düz metnde gevşek jetonlar ve API anahtarları içeriyordu:
Benzer şekilde, ekstra bağlantı alanında depolanan kimlik bilgileri – meta veriler için – şifrelenmemiş, AKIAExample12345 gibi AWS anahtarlarını açığa çıkardı.
Günlük Güvenlik Açıkları (CVE-2020-17511)
1.10.13 öncesi sürümler, düz metin içinde Kayıtlı CLI-inputed kimlik bilgileri. Meydan okulu bir günlük girişi SQL Lakehouse şifresi ortaya çıktı:
Bu kusur, saldırganların doğrudan veritabanı erişimi olmadan kimlik bilgilerini toplamasına izin verdi.
Maruz kalan yapılandırma dosyaları
Expose_config = Airflow.cfg’de true’lu örnekler Fernet anahtarlarını ve veritabanı şifrelerini açıkladı:
Bu tür kusurlar saldırganlara Airflow’un şifreleme mekanizmaları üzerinde tam kontrol verdi.
Bu maruziyetlerden yararlanan kötü niyetli aktörler bulut kaynaklarını kaçırabilir, yanal hareket başlatabilir veya fidye yazılımlarını dağıtabilir. Intezer, hava akışı kodu-editör eklentilerinin yetkisiz DAG değişikliklerini sağladığı ve kötü amaçlı kod yürütme riskiyle karşı karşıya olduğu durumları gözlemledi.
Sızıntılar ayrıca kuruluşları para cezasına ve itibar hasarına maruz bırakarak GDPR ve diğer veri koruma yasalarını ihlal ediyor. Bir durumda, tescilli yazılım için Docker görüntü adları açıklandı ve tedarik zinciri saldırıları ile ilgili endişeleri artırdı.
Hafifletme
Kuruluşlar şunları istemektedir:
- Airflow 2.0+kimlik doğrulamasını uygulayan, varsayılan olarak geçici sorgu ve şifreleme değişkenleri gibi riskli özellikleri kaldırır.
- Güvenli kodlama uygulamalarını benimseyin: Sabit kodlanmış sırları çevre değişkenleri veya şifreli bağlantılarla değiştirin.
- Denetim Yapılandırma Dosyaları: Expose_config = false ve döndürün Fernet tuşlarını
Sorumlu açıklamanın ardından Intezer, etkilenen varlıkları bilgilendirdi, ancak birçoğu açılmadan kaldı. İş akışı otomasyonu her yerde bulundukça, hava akışı gibi araçları güvence altına almak artık isteğe bağlı operasyonel bütünlük için bir ön koşul değildir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free