Experti v oblasti kybernetické bezpečnosti odhalili tři bezpečnostní slabiny v integraci Microsoft Azure Data Factory Apache Airflow, které by v případě zneužití mohly útočníkovi umožnit provádět různé skryté akce, včetně exfiltrace dat a nasazení malwaru.
„Zneužití těchto chyb by mohlo útočníkům umožnit získat trvalý přístup jako stínoví administrátoři k celému Airflow Azure Kubernetes Service (AKS) clusteru,“ uvedla společnost Palo Alto Networks Unit 42 v analýze.
Zranitelnosti, které Microsoft klasifikoval jako nízké závažnosti, zahrnují:
– Nesprávně nakonfigurované Kubernetes RBAC v Airflow clusteru
– Nesprávné zacházení s tajnými klíči v interní službě Geneva od Azure
– Slabé ověřování pro Geneva
Kromě získání neoprávněného přístupu by útočník mohl využít slabiny ve službě Geneva k potenciálnímu manipulování s logovacími daty nebo k odesílání falešných logů, aby se vyhnul podezření při vytváření nových podů nebo účtů.
Počáteční technika přístupu zahrnuje vytvoření souboru DAG (Directed Acyclic Graph) a jeho nahrání do soukromého GitHub repozitáře připojeného k Airflow clusteru nebo úpravu existujícího DAG souboru. Cílem je spustit reverzní shell na externí server, jakmile je soubor importován.
K dosažení tohoto cíle by útočník musel nejprve získat oprávnění k zápisu do úložiště obsahujícího DAG soubory pomocí kompromitovaného servisního účtu nebo sdíleného přístupového tokenu (SAS) pro soubory. Alternativně by mohl proniknout do Git repozitáře pomocí uniklých přihlašovacích údajů.
Ačkoli shell získaný tímto způsobem byl nalezen v kontextu uživatele Airflow v Kubernetes podu s minimálními oprávněními, další analýza identifikovala servisní účet s oprávněními cluster-admin připojený k Airflow runner podu.
Tato nesprávná konfigurace, spolu se skutečností, že pod mohl být dosažitelný přes internet, znamenala, že útočník mohl stáhnout nástroj příkazového řádku Kubernetes (kubectl) a nakonec získat plnou kontrolu nad celým clusterem tím, že „nasadil privilegovaný pod a pronikl na základní uzel“.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
