Apache Airflow -forekomster som ikke er skikkelig sikret, avslører alt fra Slack til AWS -legitimasjon online.
På mandag sa Intezer malware -analytiker Nicole Fishbein og cybersikkerhetsforsker Ryan Robinson at tilfellene, som er sårbare for datatyveri, tilhører bransjer som IT, cybersikkerhet, helse, energi, finans og produksjon blant andre sektorer.
Apache Airflow, tilgjengelig på GitHub, er en åpen kildekode -plattform designet for å planlegge, administrere og overvåke arbeidsflyter. Den modulære programvaren brukes også til å behandle data i sanntid, med arbeidsledninger konfigurert som kode.
Apache Airflow versjon 2.0.0 ble utgitt i desember 2020 og implementerte en rekke sikkerhetsforbedringer, inkludert et nytt REST API som håndhevet operativ godkjenning, samt et skifte til eksplisitte verdiinnstillinger, i stedet for standardalternativer.
Mens de undersøkte aktive, eldre versjoner av arbeidsflytprogramvaren, fant cybersikkerhetsfirmaet en rekke ubeskyttede forekomster som avslørte legitimasjon for forretnings- og finansielle tjenester, inkludert Slack, PayPal, AWS, Stripe, Binance, MySQL, Facebook og Klarna.
“De [forekomster] er vanligvis hostet i skyen for å gi økt tilgjengelighet og skalerbarhet,” bemerket Intezer. “På den andre siden, feilkonfigurerte forekomster som gir internett-tilgang, gjør disse plattformene til ideelle kandidater for utnyttelse av angripere.”
Det vanligste sikkerhetsproblemet som forårsaket disse lekkasjene var bruk av hardkodede passord i forekomster som var innebygd i Python DAG -kode.
< p>
Intezer
I tillegg oppdaget forskerne at Airflow “variabler” -funksjonen var en legitimasjonskilde. Variable verdier kan angis for alle DAG -skript i en forekomst, men hvis det ikke er riktig konfigurert, kan dette føre til avslørte passord.
Teamet fant også feilkonfigurasjoner i “Tilkoblinger” -funksjonen i Airflow som gir koblingen mellom programvaren og brukerens miljø. Imidlertid er det ikke sikkert at alle legitimasjoner legges inn på riktig måte, og de kan ende opp i det “ekstra” feltet, sier teamet, i stedet for den sikre og krypterte delen av Connections. Som et resultat kan legitimasjon avsløres i ren tekst.
“Mange Airflow -forekomster inneholder sensitiv informasjon,” forklarte forskerne. “Når disse forekomstene blir utsatt for internett, blir informasjonen tilgjengelig for alle siden autentiseringen er deaktivert. I versjoner før v1.10 av Airflow er det en funksjon som lar brukere kjøre Ad Hoc -databasespørringer og få resultater fra databasen. Selv om denne funksjonen kan være nyttig, er den også veldig farlig fordi på toppen av at det ikke er noen autentisering, kan alle med tilgang til serveren få informasjon fra databasen. ”
Intezer har varslet eierne av de sårbare tilfellene gjennom ansvarlig avsløring.
Det anbefales at Apache Airflow -brukere oppgraderer sine builds til den nyeste versjonen og sjekker innstillinger for brukerrettigheter for å sikre at ingen uautoriserte brukere kan få tilgang til instansene sine.
Tidligere og relatert dekning
Dette er hvor raskt et passord som er lekket på nettet vil bli testet ut av hackere
Attacker utgir legitimasjon for 87 000 FortiGate SSL VPN -enheter
Microsoft Autodiscover misbrukt til samle nettforespørsler, legitimasjon
Har du et tips? Ta kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 