CVE-2024-45784: Apache Airflow Vulnerability Exposes Sensitive Data in Logs
2024/11/16 SecurityOnline — Apache Airflow に存在する脆弱性により、機密コンフィグ・データが誤って公開され、システム・セキュリティが侵害される可能性が生じている。この人気のワークフロー管理プラットフォームで発見された、脆弱性 CVE-2024-45784 (CVSS:7.5) は、Airflow バージョン 2.10.3 未満に影響を及ぼすものだ。この問題は、Airflow プラットフォームのデフォルトでは、タスク・ログ内の機密コンフィグ値をマスクできないことに起因している。
この見落としにより、DAG (Directed Acyclic Graph) の作成者により、API キー/データベース資格情報などの機密情報が、意図の有無にかかわらずログに記録される可能性が生じる。したがって、それらのログにアクセスする権限のないユーザーにより、記録済みのデータが悪用され、Airflow デプロイメント全体が侵害される恐れがある。
リスク:
データ侵害:顧客データ/財務記録/独自コードなどの機密情報に、攻撃者がアクセスする可能性が生じる。
システム侵害:公開された資格情報を悪用する攻撃者により、重要なシステムとインフラが制御される可能性が生じる。
横方向への移動:攻撃者は侵害したシステムを悪用して、ネットワークの他の部分に侵入し、アクセスする可能性を手にする。
緩和策:
すでに Apache Airflow チームは、バージョン 2.10.3 をリリースし、この脆弱性に対処している。すべてのユーザーに対して強く推奨されるのは、この最新バージョン以降へと、ただちにアップグレードすることだ。
さらに、ユーザー組織にとって必要なことは、Airflow ログを確認し、機密情報の公開/流出について確認することだ。問題となる機密情報が発見された場合には、予防措置として、それらのシークレットのローテーションが重要となる。
Apache Airflow に存在する、タスク・ログ内の機密コンフィグ暴露の脆弱性が FIXしました。文中で確説されている、DAG (Directed Acyclic Graph) ついては、Qiita に「ワークフロー・エンジン Apache Airflow の理解を深める」という記事があります。よろしければ、Apache Airflow で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.