Apache Airflow -instanser som inte har säkrats ordentligt avslöjar allt från Slack till AWS -referenser online.
På måndagen sa Intezer malware -analytiker Nicole Fishbein och cybersäkerhetsforskaren Ryan Robinson att instanserna, som är sårbara för datastöld, tillhör branscher inklusive IT, cybersäkerhet, hälsa, energi, finans och tillverkning, bland andra sektorer.
Apache Airflow, tillgängligt på GitHub, är en plattform med öppen källkod som är utformad för schemaläggning, hantering och övervakning av arbetsflöden. Den modulära programvaran används också för att bearbeta data i realtid, med arbetsledningar konfigurerade som kod.
Apache Airflow version 2.0.0 släpptes i december 2020 och implementerade ett antal säkerhetsförbättringar, inklusive ett nytt REST API som tvingade fram operativ autentisering, samt en övergång till uttryckliga värdeinställningar, snarare än standardalternativ.
Under undersökningen av aktiva, äldre versioner av arbetsflödesprogramvaran hittade cybersäkerhetsföretaget ett antal oskyddade instanser som avslöjade referenser för affärs- och finansiella tjänster, inklusive Slack, PayPal, AWS, Stripe, Binance, MySQL, Facebook och Klarna.
“De [instanserna] är vanligtvis värd i molnet för att ge ökad tillgänglighet och skalbarhet”, noterade Intezer. “På andra sidan, felkonfigurerade instanser som tillåter internetövergripande åtkomst gör dessa plattformar till idealiska kandidater för utnyttjande av angripare.”
Det vanligaste säkerhetsproblemet som orsakade dessa läckor var användningen av hårdkodade lösenord inom instanser som var inbäddade i Python DAG -kod.
< p>
Intezer
Dessutom upptäckte forskarna att Airflow “variabler” -funktionen var en referensläcka. Variabla värden kan ställas in för alla DAG -skript inom en instans, men om det inte är korrekt konfigurerat kan detta leda till exponerade lösenord.
Teamet hittade också felkonfigurationer i funktionen “Anslutningar” i Airflow som ger länken mellan programvaran och en användares miljö. Dock kanske inte alla referenser matas in korrekt och de kan hamna i “extra” -fältet, säger teamet, snarare än den säkra och krypterade delen av Connections. Som ett resultat kan referenser avslöjas i klartext.
“Många Airflow -instanser innehåller känslig information”, förklarade forskarna. “När dessa instanser exponeras för internet blir informationen tillgänglig för alla eftersom autentiseringen är inaktiverad. I versioner före v1.10 av Airflow finns det en funktion som låter användare köra Ad Hoc -databasfrågor och få resultat från databasen. Även om den här funktionen kan vara praktisk, är den också mycket farlig, förutom att det inte finns någon autentisering kan alla som har tillgång till servern få information från databasen. ”
Intezer har meddelat ägarna om de sårbara instanserna genom ansvarsfullt avslöjande.
Det rekommenderas att Apache Airflow -användare uppgraderar sina versioner till den senaste versionen och kontrollerar inställningarna för användarrättigheter för att säkerställa att inga obehöriga användare kan få åtkomst till sina instanser.
Tidigare och relaterad täckning
Så här kommer ett lösenord som läckt ut på webben att testas av hackare
Attacker släpper in uppgifter för 87 000 FortiGate SSL VPN -enheter
Microsoft Autodiscover missbrukas till samla webbförfrågningar, referenser
Har du ett tips? Hör av dig säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Säkerhet TV Datahantering CXO Datacenter 