Apache Airflow -forekomster, der ikke er korrekt sikret, afslører alt fra Slack til AWS -legitimationsoplysninger online.
På mandag sagde Intezer malware -analytiker Nicole Fishbein og cybersikkerhedsforsker Ryan Robinson, at de tilfælde, der er sårbare over for datatyveri, tilhører brancher, herunder IT, cybersikkerhed, sundhed, energi, finansiering og fremstilling blandt andre sektorer.
Apache Airflow, tilgængelig på GitHub, er en open source -platform designet til planlægning, styring og overvågning af arbejdsgange. Den modulære software bruges også til at behandle data i realtid, med arbejdsrørledninger konfigureret som kode.
Apache Airflow version 2.0.0 blev udgivet i december 2020 og implementerede en række sikkerhedsforbedringer, herunder en ny REST API, der håndhævede operativ godkendelse samt et skift til eksplicitte værdiindstillinger frem for standardindstillinger.
Under undersøgelsen af aktive, ældre versioner af workflow -softwaren fandt cybersikkerhedsfirmaet en række ubeskyttede tilfælde, der afslørede legitimationsoplysninger for forretnings- og finansielle tjenester, herunder Slack, PayPal, AWS, Stripe, Binance, MySQL, Facebook og Klarna.
“De [forekomster] er typisk hostet i skyen for at give øget tilgængelighed og skalerbarhed,” noterede Intezer. “På den anden side gør fejlkonfigurerede forekomster, der giver adgang til hele internettet, disse platforme ideelle kandidater til udnyttelse af angribere.”
Det mest almindelige sikkerhedsproblem, der forårsagede disse lækager, var brugen af hardkodede adgangskoder i forekomster, der var integreret i Python DAG -kode.
< p>
Intezer
Desuden opdagede forskerne, at Airflow “variabler” -funktionen var en legitimationslækage. Variable værdier kan indstilles på tværs af alle DAG -scripts inden for en forekomst, men hvis det ikke er konfigureret korrekt, kan dette føre til udsatte adgangskoder.
Teamet fandt også fejlkonfigurationer i funktionen “Forbindelser” i Airflow, som giver forbindelsen mellem softwaren og en brugers miljø. Imidlertid er det ikke sikkert, at alle legitimationsoplysninger indtastes korrekt, og de kan ende i feltet “ekstra”, siger teamet frem for den sikre og krypterede del af Connections. Som et resultat kan legitimationsoplysninger afsløres i ren tekst.
“Mange Airflow -forekomster indeholder følsomme oplysninger,” forklarede forskerne. “Når disse instanser udsættes for internettet, bliver oplysningerne tilgængelige for alle, da godkendelsen er deaktiveret. I versioner før v1.10 af Airflow er der en funktion, der lader brugerne køre Ad Hoc -databaseforespørgsler og få resultater fra databasen. Selvom denne funktion kan være praktisk, er den også meget farlig, for oven i at der ikke er nogen godkendelse, kan alle med adgang til serveren få oplysninger fra databasen. ”
Intezer har meddelt ejerne af de sårbare tilfælde ved ansvarlig offentliggørelse.
Det anbefales, at Apache Airflow -brugere opgraderer deres builds til den nyeste version og kontrollerer brugerrettighedsindstillinger for at sikre, at ingen uautoriserede brugere kan få adgang til deres instanser.
Tidligere og relateret dækning
Sådan hurtigt vil en adgangskode, der lækkes på nettet, blive testet af hackere
Attacker frigiver legitimationsoplysninger for 87.000 FortiGate SSL VPN -enheder
Microsoft Autodiscover misbrugt til indsamle webanmodninger, legitimationsoplysninger
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 