Неверно настроенные серверы Apache Airflow пропускают тысячи учетных данных

22
FTC: интернет-провайдеры собирают и монетизируют гораздо больше пользовательских данных, чем вы думаете

Изучая ошибку неправильной конфигурации в Apache Airflow, исследователи обнаружили множество незащищенных случаев в сети утечки конфиденциальной информации, в том числе учетных данных, от известных технологических компаний.

Apache Airflow — популярная платформа управления рабочими процессами с открытым исходным кодом для организации и управления задачами.

Провайдеры облачного хостинга и платежные системы слили учетные данные

На этой неделе исследователи Николь Фишбейн и Райан Робинсон из охранной фирмы Intezer раскрыли подробности того, как они выявляли ошибки неправильной конфигурации на серверах Apache Airflow, управляемых крупными технологическими компаниями.

Недостатки неправильной конфигурации привели к утечке конфиденциальных данных, в том числе тысяч учетных данных, с популярных платформ и сервисов, таких как Slack, PayPal и Amazon Web Services (AWS), среди прочего, утверждают исследователи.

«Эти незащищенные экземпляры раскрывают конфиденциальную информацию компаний в СМИ, финансах, производстве, информационных технологиях (ИТ), биотехнологиях, электронной коммерции, здравоохранении, энергетике, кибербезопасности и транспортной отрасли», — говорят исследователи Intezer.

В различных сценариях, проанализированных исследователями, наиболее частой причиной утечки учетных данных, наблюдаемой на серверах Airflow, были небезопасные методы кодирования.

«Пароли не должны быть жестко запрограммированы, и должны использоваться длинные имена изображений и зависимостей. Вы не будете защищены при использовании плохих методов кодирования, даже если вы считаете, что приложение защищено брандмауэром от Интернета», — предупреждают Фишбейн и Робинсон.

В другом случае неправильной конфигурации исследователи видели серверы Airflow с общедоступным файлом конфигурации:

«Файл конфигурации (airflow.cfg) создается при первом запуске Airflow. Он содержит конфигурацию Airflow, и ее можно изменить», — заявляют исследователи. Файл содержит секреты, такие как пароли и ключи.

Но, если для параметра expose_config в файле по ошибке установлено значение «True», конфигурация становится доступной для всех через веб-сервер, который теперь может просматривать эти секреты.

Другие примеры, обнаруженные в дикой природе, включают конфиденциальные данные, хранящиеся в «Переменных» Airflow, которые могут быть отредактированы неавторизованным пользователем для внедрения вредоносного кода, и неправильное использование функции «Подключения» — учетные данные, хранящиеся в незашифрованном поле «Extra» в виде больших двоичных объектов JSON. видны всем.

Исследования демонстрируют риски отложенной установки исправлений

Помимо выявления неправильно настроенных ресурсов Airflow, целью этого исследования было привлечь внимание к рискам, связанным с задержкой обновлений программного обеспечения.

Intezer заявляет, что подавляющее большинство этих недостатков было обнаружено на серверах под управлением Airflow v1.x с 2015 года, которые до сих пор используются организациями из разных секторов.

В версии 2 Airflow было введено множество новых функций безопасности, включая REST API, который требует аутентификации для всех операций. Более новая версия также не хранит конфиденциальную информацию в журналах и заставляет администратора явно подтверждать параметры конфигурации, а не использовать параметры по умолчанию.

Раскрытие клиентских записей и конфиденциальных данных из-за недостатков безопасности, вызванных отложенным внесением исправлений, может являться нарушением законов о защите данных, таких как GDPR.

«Нарушение работы клиентов из-за ненадлежащей практики кибербезопасности также может привести к судебным искам, таким как коллективные иски», — советует охранная фирма.

Это открытие произошло всего через несколько месяцев после того, как злоумышленники использовали неправильную конфигурацию в Argo Workflows, также обнаруженную Intezer, для развертывания криптомайнеров в кластерах Kubernetes.

В августе этого года она сообщила о случаях неправильно настроенных корзин, раскрывающих миллионы конфиденциальных записей из секретного списка наблюдения за террористами.

Intezer заявляет, что до того, как опубликовать свои выводы, он уведомил идентифицированные организации и организации, утекающие конфиденциальные данные через уязвимые экземпляры Airflow.

«В свете основных изменений, внесенных в версию 2, настоятельно рекомендуется обновить версии всех экземпляров Airflow до последней версии. Убедитесь, что только авторизованные пользователи могут подключаться», — советуют исследователи Intezer в своем отчете.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here