Apache Airflow-instanties die niet goed zijn beveiligd, stellen alles online bloot, van Slack tot AWS-inloggegevens.
Maandag zeiden Intezer-malware-analist Nicole Fishbein en cyberbeveiligingsonderzoeker Ryan Robinson dat de gevallen, kwetsbaar voor gegevensdiefstal, behoren tot sectoren als IT, cyberbeveiliging, gezondheid, energie, financiën en productie, naast andere sectoren.
Apache Airflow, beschikbaar op GitHub, is een open source-platform dat is ontworpen voor het plannen, beheren en bewaken van workflows. De modulaire software wordt ook gebruikt om gegevens in realtime te verwerken, waarbij werkpijplijnen als code zijn geconfigureerd.
Apache Airflow versie 2.0.0 werd uitgebracht in december 2020 en implementeerde een aantal beveiligingsverbeteringen, waaronder een nieuwe REST API die operationele authenticatie afdwingde, evenals een verschuiving naar expliciete waarde-instellingen in plaats van standaardopties.
Bij het onderzoeken van actieve, oudere versies van de workflowsoftware, vond het cyberbeveiligingsbedrijf een aantal onbeschermde instanties die inloggegevens voor zakelijke en financiële diensten blootlegden, waaronder Slack, PayPal, AWS, Stripe, Binance, MySQL, Facebook en Klarna.
“Deze [instances] worden doorgaans in de cloud gehost om een betere toegankelijkheid en schaalbaarheid te bieden,” merkte Intezer op. “Aan de andere kant maken verkeerd geconfigureerde instanties die internetbrede toegang mogelijk maken deze platforms ideale kandidaten voor uitbuiting door aanvallers.”
Het meest voorkomende beveiligingsprobleem dat deze lekken veroorzaakte, was het gebruik van hardgecodeerde wachtwoorden binnen instanties die waren ingebed in Python DAG-code.
< p>
Intezer
Bovendien ontdekten de onderzoekers dat de Airflow-functie “variabelen” een lekkagebron was. Variabele waarden kunnen worden ingesteld voor alle DAG-scripts binnen een instantie, maar als deze niet correct is geconfigureerd, kan dit leiden tot blootgestelde wachtwoorden.
Het team vond ook verkeerde configuraties in de “Connections”-functie van Airflow, die de link vormt tussen de software en de omgeving van een gebruiker. Het is echter mogelijk dat niet alle inloggegevens correct worden ingevoerd en dat ze in het veld 'extra' kunnen terechtkomen, zegt het team, in plaats van in het beveiligde en versleutelde gedeelte van Connections. Als gevolg hiervan kunnen referenties in platte tekst worden weergegeven.
“Veel Airflow-instanties bevatten gevoelige informatie”, leggen de onderzoekers uit. “Wanneer deze instanties worden blootgesteld aan internet, wordt de informatie voor iedereen toegankelijk omdat de authenticatie is uitgeschakeld. In versies vóór v1.10 van Airflow is er een functie waarmee gebruikers Ad Hoc-databasequery's kunnen uitvoeren en resultaten uit de database kunnen krijgen. Hoewel deze functie handig kan zijn, is het ook erg gevaarlijk omdat er niet alleen authenticatie is, maar iedereen met toegang tot de server informatie uit de database kan halen.”
Intezer heeft de eigenaren van de kwetsbare instanties op de hoogte gebracht door middel van Responsible Disclosure.
Het wordt aanbevolen dat Apache Airflow-gebruikers hun builds upgraden naar de nieuwste versie en de instellingen voor gebruikersrechten controleren om er zeker van te zijn dat onbevoegde gebruikers geen toegang kunnen krijgen tot hun instances.
Eerdere en gerelateerde dekking
Zo snel wordt een op internet gelekt wachtwoord getest door hackers
Aanvaller geeft inloggegevens vrij voor 87.000 FortiGate SSL VPN-apparaten
Microsoft Autodiscover misbruikt om verzamel webverzoeken, inloggegevens
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 