Apache Airflow のミス・コンフィグレーションにより膨大な機密情報が流出

Misconfigured Apache Airflow servers leak thousands of credentials

2021/10/05 SecurityAffairs — Apache Airflow は、オープンソースのワークフロー管理プラットフォームであり、ビジネスや IT のタスクを自動化するために、世界中の多くの組織で利用されている。セキュリティ企業である Intezer の研究者たちが、Apache Airflow のミス・コンフィグレーションにより、複数のハイテク企業における認証情報などの機密情報が、流出していることが発見された。

Intezer の研究者たちは、「安全性が確保されていない Apache Airflow インスタンスは、メディア/金融/製造/IT/バイオテクノロジー/電子商取引/ヘルスケア/エネルギー/サイバーセキュリティ/輸送などの、幅広い業界に属する企業の機密情報を流出させている。脆弱な Airflows には、Slack/PayPal/AWS などの一般的なプラットフォームやサービスの認証情報が表示される」と公開した投稿に記載している。

専門家たちは、組織や顧客にとっての、ミス・コンフィグレーションのリスクを分析し、脆弱なインスタンスからのデータ漏洩の、一般的な原因についても詳しく説明している。Intezer の研究者は、流出した情報の大半が、安全ではないコーディング方法により公開されていると判断している。対象となるインスタンスの多くは、Python DAG コード内にハードコードされたパスワードを持っている。

また、Intezer が分析した別のミス・コンフィグレーションによるインストール結果には、パスワードやキーなどの秘密情報を含む、一般にアクセス可能なコンフィグレーション・ファイル (airflow.cfg) が存在していた。脅威アクターは、このコンフィグレーションを変更して、予期せぬ動作を引き起こす可能性もある。

また、DAG スクリプトで使用されている Airflow の変数を介して、認証情報が漏洩する可能性もある。専門家たちは、これらの変数にハードコードされたパスワードが保存されていることは、よくあることだと説明している。脅威アクターは、Airflow のプラグインや機能を悪用して、変数に注入可能なマルウェアを実行する可能性もある。

研究者たちは、「Airflow のプラグインや機能を悪用して、悪意のコードを実行する可能性も考えられる。攻撃者が Airflow のネイティブな「変数」機能を悪用する例としては、変数フォームに配置されたコードや画像が、評価済みのコード文字列を構築するために、使用される場合がある」と分析している。

彼らは、「変数は、訪問したユーザーが誰でも編集できるため、悪意のコードが注入される可能性がある。ある企業では、実行する内部コンテナ・イメージの名前を、変数に格納していることが確認された。これらのコンテナ・イメージの変数を編集して、未承認のコードや悪意のコードを含むイメージと交換することができた」と述べている。

今回の調査では、古いバージョンの Apache Airflow に焦点が当てられ、古いソフトウェアの使用に伴うリスクが浮き彫りにされた。報告書に記載されている問題の大半は、Airflow v1.x を実行しているサーバーに影響を与えていた。ただし、Airflow の最近のバージョンには、上記の問題を軽減するセキュリティ機能が搭載されている。

研究者たちは、「Airflow v1.x を使用するサーバーに発生した問題の多くは、最近のバージョンの Airflow では軽減されるものとなる。また、許可されたユーザーのみが接続できるような設定が必要だ。顧客情報の流出は、データ保護法の違反や法的措置の可能性にもつながる。サイバー・セキュリティの不備による顧客業務の中断は、集団訴訟などの法的措置にもつながる」と述べている。

Apache Airflow の脆弱性ですが、古いバージョンの問題のようですね。Apache に関するトピックには、「Linux System をハックする深刻な脆弱性のリスト Top-15」があり、ここには Apache Struts の脆弱性が列挙されています。また、「放置された脆弱性:脅威アクターが狙い続ける Tomcat/VMware/Exchange」も、Tomcat の古い脆弱性に関する警告です。Apache ユーザーの方々、ご注意ください。

%d bloggers like this: