Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Máy chủ Apache Airflow cấu hình sai khiến rò rỉ hàng nghìn thông tin đăng nhập
Trong khi tìm hiểu về lỗ hổng cấu hình sai trong Apache Airflow, các nhà nghiên cứu phát hiện nhiều trường hợp bị rò rỉ thông tin nhạy cảm, bao gồm cả thông tin xác thực, từ các công ty công nghệ nổi tiếng.
Apache Airflow là một nền tảng quản lý quy trình làm việc mã nguồn mở phổ biến để tổ chức và quản lý các tác vụ.
Tuần này, các nhà nghiên cứu Nicole Fishbein và Ryan Robinson từ công ty an ninh mạng Intezer đã tiết lộ chi tiết về việc họ phát hiện lỗi cấu hình sai trên các máy chủ Apache Airflow chạy bởi các công ty công nghệ lớn.
Các lỗi cấu hình sai dẫn đến rò rỉ dữ liệu nhạy cảm bao gồm hàng nghìn thông tin đăng nhập từ các nền tảng và dịch vụ phổ biến như Slack, PayPal, Amazon Web Services (AWS)…
Các nhà nghiên cứu của Intezer cho biết: “Những trường hợp này làm lộ thông tin nhạy cảm của các công ty thuộc các lĩnh vực truyền thông, tài chính, sản xuất, công nghệ thông tin, công nghệ sinh học, thương mại điện tử, y tế, năng lượng, an ninh mạng và vận tải”.
Trong số các trường hợp được phân tích, lý do phổ biến nhất dẫn đến rò rỉ thông tin xác thực trên các máy chủ Airflow là do các phương pháp mã hóa không an toàn.
Ví dụ: nhóm của Intezer đã phát hiện ra các phiên bản khác nhau với mật khẩu được mã hóa cứng bên trong mã Python DAG.
Fishbein và Robinson cảnh báo: "Mật khẩu không nên được mã hóa cứng và sử dụng các tên dài của hình ảnh và phần phụ thuộc. Bạn sẽ không được bảo vệ khi sử dụng các phương pháp mã hóa kém ngay cả khi bạn cho rằng ứng dụng đã bị chặn Internet".
Trong một trường hợp cấu hình sai khác, các nhà nghiên cứu đã thấy các máy chủ Airflow có tệp cấu hình có thể bị truy cập công khai.
Các nhà nghiên cứu cho biết: "Tệp cấu hình (airflow.cfg) được tạo khi Airflow khởi động lần đầu tiên. Nó chứa cấu hình của Airflow và có thể bị thay đổi". Tệp chứa các bí mật như mật khẩu và khóa.
Tuy nhiên, nếu tùy chọn `exped_config` trong tệp được đặt nhầm thành 'True', thì bất kỳ ai cũng có thể truy cập cấu hình thông qua máy chủ web.
Trường hợp khác phát hiện dữ liệu nhạy cảm được lưu trữ trong Airflow "Variables" có thể bị chỉnh sửa bởi người dùng trái phép để thêm mã độc và sử dụng không đúng tính năng "Connections" — thông tin xác thực được lưu trữ trong trường "Extra" không được mã hóa dưới dạng các blob JSON hiển thị với mọi người.
Rủi ro của việc chậm vá lỗi
Ngoài việc xác định các Airflow cấu hình sai, nghiên cứu thu hút sự chú ý về các rủi ro đến từ việc trì hoãn cập nhật phần mềm.
Intezer cho biết phần lớn các lỗi này được xác định trong các máy chủ chạy Airflow v1.x từ năm 2015, vẫn được các tổ chức sử dụng.
Trong phiên bản 2 của Airflow, nhiều tính năng mới đã được đưa ra bao gồm API REST yêu cầu xác thực cho tất cả các hoạt động. Phiên bản mới hơn cũng không lưu trữ thông tin nhạy cảm trong nhật ký và buộc quản trị viên xác nhận rõ ràng các tùy chọn cấu hình, thay vì chỉ với những tùy chọn mặc định.
Việc để lộ hồ sơ khách hàng và dữ liệu nhạy cảm do trì trệ cập nhật bản vá có thể vi phạm luật bảo vệ dữ liệu.
Vấn đề được phát hiện chỉ vài tháng sau khi lỗi cấu hình sai trong Argo Workflows bị phát hiện bởi Intezer. Hacker đã lạm dụng để khai thác tiền điện tử trên các cụm Kubernetes.
Vào tháng 8 năm nay, BleepingComputer đã báo cáo về các trường hợp cấu hình sai làm lộ hàng triệu hồ sơ nhạy cảm từ một danh sách theo dõi khủng bố bí mật.
Intezer cho biết trước khi công khai các phát hiện của mình, hãng đã thông báo cho các bên liên quan.
Các nhà nghiên cứu đưa ra khuyến cáo: "Chúng tôi khuyên bạn nên cập nhật cho tất cả các phiên bản Airflow lên phiên bản mới nhất”.
Apache Airflow là một nền tảng quản lý quy trình làm việc mã nguồn mở phổ biến để tổ chức và quản lý các tác vụ.
Các lỗi cấu hình sai dẫn đến rò rỉ dữ liệu nhạy cảm bao gồm hàng nghìn thông tin đăng nhập từ các nền tảng và dịch vụ phổ biến như Slack, PayPal, Amazon Web Services (AWS)…
Các nhà nghiên cứu của Intezer cho biết: “Những trường hợp này làm lộ thông tin nhạy cảm của các công ty thuộc các lĩnh vực truyền thông, tài chính, sản xuất, công nghệ thông tin, công nghệ sinh học, thương mại điện tử, y tế, năng lượng, an ninh mạng và vận tải”.
Trong số các trường hợp được phân tích, lý do phổ biến nhất dẫn đến rò rỉ thông tin xác thực trên các máy chủ Airflow là do các phương pháp mã hóa không an toàn.
Ví dụ: nhóm của Intezer đã phát hiện ra các phiên bản khác nhau với mật khẩu được mã hóa cứng bên trong mã Python DAG.
Fishbein và Robinson cảnh báo: "Mật khẩu không nên được mã hóa cứng và sử dụng các tên dài của hình ảnh và phần phụ thuộc. Bạn sẽ không được bảo vệ khi sử dụng các phương pháp mã hóa kém ngay cả khi bạn cho rằng ứng dụng đã bị chặn Internet".
Trong một trường hợp cấu hình sai khác, các nhà nghiên cứu đã thấy các máy chủ Airflow có tệp cấu hình có thể bị truy cập công khai.
Các nhà nghiên cứu cho biết: "Tệp cấu hình (airflow.cfg) được tạo khi Airflow khởi động lần đầu tiên. Nó chứa cấu hình của Airflow và có thể bị thay đổi". Tệp chứa các bí mật như mật khẩu và khóa.
Tuy nhiên, nếu tùy chọn `exped_config` trong tệp được đặt nhầm thành 'True', thì bất kỳ ai cũng có thể truy cập cấu hình thông qua máy chủ web.
Trường hợp khác phát hiện dữ liệu nhạy cảm được lưu trữ trong Airflow "Variables" có thể bị chỉnh sửa bởi người dùng trái phép để thêm mã độc và sử dụng không đúng tính năng "Connections" — thông tin xác thực được lưu trữ trong trường "Extra" không được mã hóa dưới dạng các blob JSON hiển thị với mọi người.
Rủi ro của việc chậm vá lỗi
Ngoài việc xác định các Airflow cấu hình sai, nghiên cứu thu hút sự chú ý về các rủi ro đến từ việc trì hoãn cập nhật phần mềm.
Intezer cho biết phần lớn các lỗi này được xác định trong các máy chủ chạy Airflow v1.x từ năm 2015, vẫn được các tổ chức sử dụng.
Trong phiên bản 2 của Airflow, nhiều tính năng mới đã được đưa ra bao gồm API REST yêu cầu xác thực cho tất cả các hoạt động. Phiên bản mới hơn cũng không lưu trữ thông tin nhạy cảm trong nhật ký và buộc quản trị viên xác nhận rõ ràng các tùy chọn cấu hình, thay vì chỉ với những tùy chọn mặc định.
Việc để lộ hồ sơ khách hàng và dữ liệu nhạy cảm do trì trệ cập nhật bản vá có thể vi phạm luật bảo vệ dữ liệu.
Vấn đề được phát hiện chỉ vài tháng sau khi lỗi cấu hình sai trong Argo Workflows bị phát hiện bởi Intezer. Hacker đã lạm dụng để khai thác tiền điện tử trên các cụm Kubernetes.
Vào tháng 8 năm nay, BleepingComputer đã báo cáo về các trường hợp cấu hình sai làm lộ hàng triệu hồ sơ nhạy cảm từ một danh sách theo dõi khủng bố bí mật.
Intezer cho biết trước khi công khai các phát hiện của mình, hãng đã thông báo cho các bên liên quan.
Các nhà nghiên cứu đưa ra khuyến cáo: "Chúng tôi khuyên bạn nên cập nhật cho tất cả các phiên bản Airflow lên phiên bản mới nhất”.
Nguồn: Bleeping Computer
Chỉnh sửa lần cuối bởi người điều hành: