Ενώ ερευνούσαν ένα λάθος παραμετροποίησης στο Apache Airflow, οι ερευνητές ανακάλυψαν πολλά εκτεθειμένα instances στο web που διαρρέουν ευαίσθητες πληροφορίες, συμπεριλαμβανομένων των credentials, από γνωστές τεχνολογικές εταιρείες.

Το Apache Airflow είναι μια δημοφιλής πλατφόρμα workflow management ανοιχτού κώδικα για την οργάνωση και τη διαχείριση εργασιών.

Αυτήν την εβδομάδα, οι ερευνητές Nicole Fishbein και Ryan Robinson από την εταιρεία ασφάλειας Intezer αποκάλυψαν λεπτομέρειες σχετικά με τον τρόπο με τον οποίο εντόπισαν σφάλματα εσφαλμένου configuration στους servers Apache Airflow που διαχειρίζονται μεγάλες τεχνολογικές εταιρείες.

Δείτε επίσης: Microsoft Exchange Autodiscover: Bugs διαρρέουν Windows credentials

Οι ατέλειες εσφαλμένου configuration οδήγησαν σε διαρροή ευαίσθητων δεδομένων, συμπεριλαμβανομένων χιλιάδων credentials από δημοφιλείς πλατφόρμες και υπηρεσίες, όπως το Slack, το PayPal και το Amazon Web Services (AWS), μεταξύ άλλων, ισχυρίζονται οι ερευνητές:

“Αυτές οι μη εξασφαλισμένες περιπτώσεις εκθέτουν ευαίσθητες πληροφορίες εταιρειών σε μέσα μαζικής ενημέρωσης, χρηματοδότηση, παραγωγή, τεχνολογία πληροφοριών, βιοτεχνολογία, ηλεκτρονικό εμπόριο, υγεία, ενέργεια, κυβερνοασφάλεια και βιομηχανίες μεταφορών”, λένε οι ερευνητές της Intezer.

Σε διάφορα σενάρια που έχουν αναλύσει οι ερευνητές, ο πιο συνηθισμένος λόγος διαρροής credential που παρατηρήθηκε στους servers Airflow ήταν οι ανασφαλείς πρακτικές κωδικοποίησης.

Για παράδειγμα, η ομάδα του Intezer ανακάλυψε διάφορες περιπτώσεις παραγωγής με hard-coded κωδικούς πρόσβασης μέσα στον κώδικα Python DAG:

“Οι κωδικοί πρόσβασης δεν πρέπει να είναι κωδικοποιημένοι και πρέπει να χρησιμοποιούνται τα μεγάλα ονόματα εικόνων και dependencies. Δεν θα προστατεύεστε όταν χρησιμοποιείτε κακές πρακτικές κωδικοποίησης, ακόμη και αν πιστεύετε ότι η εφαρμογή έχει τερματιστεί στο διαδίκτυο”, προειδοποιούν οι Fishbein και Robinson.

Δείτε επίσης: Το McDonald’s διαρρέει τα credentials της database Monopoly VIP

Σε μια άλλη περίπτωση λανθασμένου configuration, οι ερευνητές είδαν servers Airflow με δημόσιο προσβάσιμο αρχείο ρυθμίσεων:

“Το αρχείο διαμόρφωσης (airflow.cfg) δημιουργείται κατά την πρώτη εκκίνηση του Airflow. Περιέχει το configuration του Airflow και μπορεί να αλλάξει”, δηλώνουν οι ερευνητές. Το αρχείο περιέχει μυστικά όπως κωδικούς πρόσβασης

και κλειδιά.

Αλλά, εάν η επιλογή «expose_config» στο αρχείο οριστεί κατά λάθος σε «True», το configuration γίνεται προσβάσιμο σε οποιονδήποτε μέσω του web server, ο οποίος μπορεί πλέον να δει αυτά τα μυστικά.

Η έρευνα καταδεικνύει κινδύνους καθυστερημένης επιδιόρθωσης

Εκτός από τον εντοπισμό ακατάλληλα διαμορφωμένων στοιχείων ενεργητικού Airflow, το επίκεντρο αυτής της έρευνας ήταν να επιστήσει την προσοχή στους κινδύνους που προέρχονται από την καθυστέρηση των ενημερώσεων λογισμικού.

Η Intezer αναφέρει ότι η συντριπτική πλειοψηφία αυτών των ελαττωμάτων εντοπίστηκε σε servers που εκτελούσαν Airflow v1.x από το 2015, που εξακολουθούν να χρησιμοποιούνται από οργανισμούς από διαφορετικά τμήματα.

Στην έκδοση 2 του Airflow, παρουσιάστηκαν πολλές νέες δυνατότητες ασφαλείας, συμπεριλαμβανομένου ενός REST API που απαιτεί έλεγχο ταυτότητας για όλες τις λειτουργίες. Η νεότερη έκδοση επίσης δεν αποθηκεύει ευαίσθητες πληροφορίες σε αρχεία καταγραφής και αναγκάζει τον διαχειριστή να επιβεβαιώσει ρητά τις επιλογές configuration, αντί να ακολουθήσει τις προεπιλεγμένες.

Δείτε επίσης: Google: Καταργεί δημοφιλή Android apps που έκλεβαν Facebook credentials

Η έκθεση αρχείων πελατών και ευαίσθητων δεδομένων λόγω ελαττωμάτων ασφάλειας που προκύπτουν από την καθυστερημένη ενημέρωση κώδικα μπορεί να παραβιάζει τους νόμους περί προστασίας δεδομένων όπως το GDPR.

Πηγή πληροφοριών: bleepingcomputer.com