APACHE AIRFLOW'da yanlış yapılandırma kusurunu araştırırken, araştırmacılar, iyi bilinen teknoloji şirketlerinden, kimlik bilgileri dahil olmak üzere, web sızdırmaz bilgilerin üzerinde birçok maruz kalan örneği keşfetti.
Apache Airflow, görevleri organize etmek ve yönetmek için popüler bir açık kaynaklı iş akışı yönetimi platformudur.
Bu hafta, araştırmacılar Nicole Fishbein ve Ryan Robinson, Güvenlik Firması Intezer'den, Binbaşı Teknik Şirketler tarafından yönetilen Apache Airflow Sunucuları'ndaki yanlış yapılandırma hatalarını nasıl tanımladıkları hakkında ayrıntılı bilgi verdi.
Yanlış konfigasyon kusurları, popüler platformlar ve gevşek, PayPal ve Amazon web hizmetleri (AWS) gibi popüler platformlar ve hizmetlerden gelen binlerce kimlik bilgileri dahil olmak üzere hassas veri sızıntısına neden oldu, diğerleri arasında araştırmacıları talep ediyor:
"Bu teminatsız durumlar, Medya, Finans, İmalat, Bilgi Teknolojileri (Biotech, E-Ticaret, Sağlık, Enerji, Siber Güvenlik ve Ulaştırma Endüstrileri ve Ulaştırma Endüstrileri ve Ulaştırma Endüstrileri boyunca şirketlerin hassas bilgilerini ortaya koyuyor" diyor.
Araştırmacıların analiz ettiği çeşitli senaryolarda, hava akımı sunucularında görülen kimlik bilgileri sızıntısının en yaygın nedeni güvensiz kodlama uygulamasıydı.
Örneğin, Inzerer'in ekibi, Python DAG kodunun içindeki kodlanmış şifrelerle çeşitli üretim örneklerini keşfetti:
"Şifreler sertleşmemeli ve görüntülerin ve bağımlılıkların uzun adları kullanılmalıdır. Fishbein ve Robinson uyarınca, uygulamanın güvenlik duvarı olduğuna inansanız bile, zayıf kodlama uygulamalarını kullanırken korunmayacaksınız."
Başka bir yanlış yapılandırma durumunda, araştırmacılar halka açık bir konfigürasyon dosyasına sahip hava akımı sunucularını gördü:
"AIRFLOW ilk başladığında yapılandırma dosyası (Airflow.cfg) oluşturulur. Hava akışının yapılandırmasını içerir ve araştırmacıları" değiştirebilir. " Dosya, şifreler ve tuşlar gibi sırları içerir.
Ancak, dosyadaki `expose_config` seçeneği yanlışlıkla 'true,' olarak ayarlanırsa, şimdi bu sırları şimdi görüntüleyebilen web sunucusu aracılığıyla kimseye erişilebilir hale gelir.
Vahşi doğada yakalanan diğer örnekler, yetkisiz bir kullanıcı tarafından kötü amaçlı kod enjekte edilmesi için yetkisiz bir kullanıcı tarafından düzenlenebilecek olan hava akımı "değişkenleri" ve "Bağlantılar" özelliğini JSON BLOB'ları olarak kaydedilen "Bağlantılar" ın yanlış kullanılmasını içermektedir. herkese görünür.
Yanlış yapılandırılmış hava akımı varlıklarını tanımlamanın yanı sıra, bu araştırmanın odağı, yazılım güncellemelerini geciktirmekten gelen risklere dikkat çekmekti.
Intezer, bu kusurların büyük çoğunluğunun, 2015'ten itibaren Airflow V1.x'i çalıştıran sunucularda tanımlandı, hala farklı bölümlerden organizasyonlar tarafından kullanılıyordu.
Hava akışının 2 sürümünde, tüm işlemler için kimlik doğrulaması gerektiren bir REST API dahil birçok yeni güvenlik özelliği tanıtıldı. Yeni sürüm ayrıca günlüklerde hassas bilgileri saklamaz ve yöneticiyi varsayılan olanlarla gitmek yerine, yapılandırma seçeneklerini açıkça onaylamasını sağlar.
Erteleyen yamadan kaynaklanan güvenlik kusurları nedeniyle müşteri kayıtlarını ve hassas verileri ortaya koymak, GSYİH gibi veri koruma yasalarının ihlal edilmesine neden olabilir.
Güvenlik şirketi, "Müşterilerinin fakir siber güvenlik uygulamaları yoluyla aksamasının, sınıf eylem davaları gibi yasal işlemlere neden olabilir" dedi.
Bu keşif, Argo iş akışlarında, Intezer tarafından keşfettiği bir yanlış konfigürasyondan hemen sonra geliyor, saldırganlar tarafından Kubbernetes kümelerinde kriptominerleri dağıtmak için saldırdılar.
Bu yıl Ağustos ayında, BleepingComputer, gizli bir terörist izleme listesinden milyonlarca hassas rekor gösteren yanlış yapılandırılmış kovalar vakalarında bildirildi.
Inzerzer, bulgularını halka açıklamadan önce, tanımlanmış kuruluşlara ve hassas verileri savunmasız hava akımı örnekleri aracılığıyla sızdıran varlıkları bildirmiştir.
"Sürüm 2'de yapılan ana değişikliklerin ışığında, tüm hava akımı durumlarının sürümünü en son sürüme güncellemesi şiddetle tavsiye edilir. Yalnızca yetkili kullanıcıların bağlanabildiğinden emin olun".
Ford Hatası Müşteri ve Çalışan Kayıtları İç Sistemlerden Maruz Kaldı
Apache düzeltmeleri aktif olarak sömürülen sıfır gün güvenlik açığı, şimdi yama
Android uygulaması güvenlik kusurlarını bulmak için Facebook açık kaynaklar aracı
Yeni Windows Güvenlik Güncellemeleri Ağ Yazdırmayı Break
Github, 'TAR' ve NPM CLI'sinde 7 kod yürütme güvenlik açığını bulur
Kaynak: Bleeping Computer