Instâncias do Apache Airflow mal configuradas vazam credenciais para serviços populares

Por:
5 minutos
Instâncias do Apache Airflow mal configuradas vazam credenciais para serviços populares

Pesquisadores de segurança cibernética na segunda-feira descobriram configurações incorretas em versões mais antigas de instâncias do Apache Airflow pertencentes a uma série de empresas de alto perfil em vários setores, resultando na exposição de credenciais confidenciais para plataformas e serviços populares, como Amazon Web Services (AWS), Binance, Google Cloud Platform (GCP), PayPal, Slack e Stripe.

"Essas instâncias não seguras expõem informações confidenciais de empresas nos setores de mídia, finanças, manufatura, tecnologia da informação (TI), biotecnologia, e-commerce, saúde, energia, segurança cibernética e transporte", disse Intezer em um relatório compartilhado com The Hacker News.

Lançado originalmente em junho de 2015, o Apache Airflow é uma plataforma de gerenciamento de fluxo de trabalho de código aberto que permite agendamento programático e monitoramento de fluxos de trabalho na AWS, GCP, Microsoft Azure e outros serviços de terceiros. É também uma das ferramentas de orquestração de tarefas mais populares, seguida por Luigi, Kubeflow e MLflow.

Vale ressaltar que as descobertas da Intezer mostram que o Apache Airflow é gerenciado por indivíduos e organizações, causando um vazamento de credenciais associadas a diferentes aplicativos e serviços, e não indica uma fraqueza nas próprias plataformas.

Algumas das práticas de codificação inseguras mais comuns descobertas por Intezer incluem o uso de senhas de banco de dados embutidas em código Python para orquestrar fluxos de trabalho, bem como em um recurso chamado Variáveis , credenciais de texto simples no campo "Extra" de Conexões e chaves de texto não criptografado em arquivos de configuração acessíveis ao público (airflow.cfg).

A principal preocupação associada a instâncias do Airflow configuradas incorretamente é o vazamento de credenciais, tornando-as candidatas ideais para exploração por agentes de ameaças, que podem abusar das informações para se espalharem lateralmente e obter acesso a contas e bancos de dados, levando à violação das leis de proteção de dados e dando aos invasores uma visão das ferramentas e pacotes da organização, que mais tarde poderiam ser explorados para preparar ataques à cadeia de suprimentos.

"Se um grande número de senhas estiver visível, um agente da ameaça também pode usar esses dados para detectar padrões e palavras comuns para inferir outras senhas", disseram os pesquisadores do Intezer. "Isso pode ser aproveitado em ataques de dicionário ou de força bruta contra outras plataformas."

Ainda mais preocupante é a possibilidade de que o malware possa ser lançado nos ambientes de produção expostos, aproveitando o recurso Variáveis ​​para modificar as variáveis ​​da imagem do contêiner para apontar para uma imagem diferente atada com código não autorizado.

O Apache Airflow, por sua vez, corrigiu muitos problemas de segurança com a versão 2.0.0 lançada em dezembro de 2020, tornando fundamental que os usuários do software atualizem para a versão mais recente e adotem práticas de codificação seguras para evitar que as senhas sejam expostas.

 

Fonte: thehackernews.com