Amazon Web Services’in (AWS) Apache Airflow için Yönetilen İş Akışlarındaki (MWAA) bir güvenlik açığı, bilgisayar korsanlarının kullanıcı oturumlarına erişmesine, uzaktan kod yürütmesine (RCE), kurumsal bulut ortamlarında yatay olarak hareket etmesine ve daha fazlasına olanak tanımış olabilir. Ancak tüm bunlar, araştırmacıların AWS, Microsoft Azure ve Google Cloud’da tespit ettiği çok daha derinlere dayanan bir yanlış yapılandırma tehdidinin yalnızca bir tezahürüdür.
Sorun potansiyel olarak geniş bir işletme alanını açığa çıkardı. 2014 yılında Airbnb’de icat edilen Apache Airflow, çoğu tahmine göre ayda yaklaşık 12 milyon indirmeye sahip açık kaynaklı bir iş akışı yönetim platformudur. Airflow kullanıcılarının yarısından fazlası veri mühendisidir — geri kalanı mimarları, geliştiricileri, DevOps uzmanlarını ve veri mühendislerini içeriyor ve üçte ikisi en az 200 çalışanı olan şirketlerde çalışıyor.
AWS sözcüsü Patrick Neighorn, Dark Reading’e yaptığı açıklamada, “AWS, Eylül 2023’te bu bulgular için bir düzeltme yayınladı, böylece Amazon Managed Workflows for Apache Airflow’un (MWAA) mevcut sürümünü çalıştıran müşteriler etkilenmedi. Geçen yıl etkilenen müşterilerimizi bilgilendirdik ve ortamlarını AWS Konsolu, API veya AWS Komut Satırı Arayüzü aracılığıyla güncellemeleri konusunda teşvik ettik. Sorunu çözmeden önce bulgulardan yararlanmak, sosyal mühendislik gerektiren karmaşık bir süreçti.”
Bulut Hizmetlerinde Çerez Atma
MWAA’daki sorun, kimlik doğrulama sonrasında oturum çerezlerini yenilemeyen ve herhangi bir saldırganın giriş yapmasına izin veren tek oturum açma (SSO) özelliğiyle başladı. kimlik doğrulaması yapmadan oturumu kesmek.
Büyük bulut sağlayıcıları tarafından sunulan farklı hizmetler genellikle aynı etki alanını paylaşır. Örneğin AWS’de Basit Depolama Hizmeti (S3), API Ağ Geçidi ve daha fazlası aynı üst öğeyi paylaşır. Sorun, bazı varlıkların istemci tarafında kod yürütülmesine izin vermesidir.
Tenable’ın kıdemli güvenlik araştırmacısı ve raporun yazarı Liv Matan, “Örneğin, saldırganın etki alanı ‘attacker.shared.com’, kurbanın etki alanı ise ‘victim.shared.com’dur” diye açıklıyor. “Her iki web sitesi de ‘paylaşılan’ adı verilen ortak bir ana alan adı altında barındırılıyor. Bunu akılda tutarak, kendi web sitesini açıkça kontrol eden bir saldırgan, JavaScript kodunu çalıştırabilir ve kurbanları bu tehlikeli web sitesine çekebilir. Kurban, saldırganın web sitesini ziyaret edecek ve JavaScript kodu, paylaşılan üst alan adı ‘shared.com’ kapsamına alınan bir çerez ayarlayacaktır. Çerez daha sonra her iki alan adı için de kullanılabilir olacaktır.”
Çerezin kapsamının paylaşılan ana alan adına ayarlanmasına “çerez atma” adı verilir. Burada, varsayımsal saldırganımızın kurbanın Airflow Web paneline erişmesine ve diğer şeylerin yanı sıra potansiyel olarak temel örnekte kod çalıştırmasına olanak tanır. Matan, bunun özellikle endişe verici olduğunu belirtiyor, çünkü “Apache Airflow, hassas kurumsal verileri işleyen veri hatlarını düzenlemek için sıklıkla kullanılıyor. Bu hatlara yapılan girdiler, müşteri bilgilerini, finansal verileri veya özel iş verilerini içerebilir. Aynı şekilde, veri boru hatlarının çıktıları da, hassas veya gizli işlenmiş veriler içerir.”
Ancak bu son keşif sadece MWAA ile ilgili değil. Böyle bir saldırgan, kurbanın ortamındaki paralel bulut hizmetlerine yönelmek için bu çerez fırlatma istismarını kullanabilir, bu da daha fazla veri ihlaline ve kurumsal kaynakların kötüye kullanılmasına yol açabilir. Yani daha temel düzeyde bu, genel olarak bir sorun olabilir. Amazon, Google ve Microsoft’un bulut platformları.
Amazon o zamandan beri bu güvenlik açığını giderdi ve kendisi ve Microsoft, temeldeki paylaşılan alan adı sorunu için yapısal bir düzeltme uyguladı. Ancak Google bunu yapmadı. Dark Reading, Google’ın bulut ekibinden daha fazla yorum bekliyor.
Kurabiye Fırlatma Düzeltmesi
Başlangıçta Mozilla tarafından Firefox’ta güvenliği ve gizliliği desteklemek için oluşturulan Genel Son Ek Listesi (PSL), kısa sürede bir web sitesine kaydolabileceğiniz tüm alan adı son ekleri için her yerde bulunan, topluluk tarafından yönetilen bir kurallar listesine dönüştü. Buna genel .com’un yanı sıra .co.uk, .info vb. ile github.io gibi özel son ekler de dahildir. Listenin bir kopyası tüm modern tarayıcılara entegre edilmiştir.
Bulut hizmeti sağlayıcıları böylece ana etki alanı sorunlarını bazı etki alanı mimarisi yeniden yapılandırmasıyla çözebilir veya yalnızca bir siteyi paylaşan ve farklı müşterileri PSL’ye dahil eden bulut hizmetlerinin etki alanlarını ekleyebilirler. Bundan sonra, tarayıcılar bunları genel bir son ek olarak tanıyabilir ve çerez atma işlemine neden olabilir.
AWS ve Azure yakın zamanda tam da bunu yaptı, ancak belirtildiği gibi Google Cloud bunu yapmadı. Tenable’a göre Google, “sorunu bir güvenlik hatası olarak takip edecek kadar ‘ciddi’ olarak görmüyor” dedi.
Matan şöyle yakınıyor: “Bulut müşterileri, bu önleyici yaklaşıma göre hareket etme konusunda bulut sağlayıcılarının insafına kalmış durumda. Aynı zamanda, bulut müşterileri, riskleri en aza indirmek için Web uygulamalarını bulutta güvence altına alma sorumluluğuna da sahipler.”
Ayrıca, “kullandığınız hizmet alanının PSL’de mevcut olup olmadığını kontrol edin” tavsiyesinde bulunuyor. “Değilse, AppSec mühendisleri için: Belirtilen risklere dikkat edin ve aynı siteden gelen her isteğin güvenilmez olduğunu varsayarak dikkatli olun.”