Siber güvenlik araştırmacıları Microsoft’un Azure Veri Fabrikasında üç güvenlik zayıflığını ortaya çıkardı Apache Hava Akışı Başarılı bir şekilde yararlanılması durumunda, bir saldırganın veri sızdırma ve kötü amaçlı yazılım dağıtımı da dahil olmak üzere çeşitli gizli eylemler gerçekleştirme yeteneğini kazanmasına olanak verebilecek entegrasyon.
Palo Alto Networks Birim 42, “Bu kusurlardan yararlanmak, saldırganların Airflow Azure Kubernetes Service (AKS) kümesinin tamamında gölge yöneticiler olarak kalıcı erişim elde etmesine olanak tanıyabilir.” söz konusu Bu ayın başlarında yayınlanan bir analizde.
Microsoft tarafından düşük önem düzeyinde sınıflandırılmış olsa da güvenlik açıkları aşağıda listelenmiştir:
- Airflow kümesinde yanlış yapılandırılmış Kubernetes RBAC
- Azure’un dahili Cenevre hizmetinin yanlış yapılandırılmış gizli işlenmesi ve
- Cenevre için zayıf kimlik doğrulama
Saldırgan, yetkisiz erişim elde etmenin yanı sıra, yeni bölmeler veya hesaplar oluştururken şüphe uyandırmaktan kaçınmak için günlük verilerini değiştirmek veya sahte günlükler göndermek için Cenevre hizmetindeki kusurlardan yararlanabilir.
İlk erişim tekniği, yönlendirilmiş bir döngüsel olmayan grafik (DAG) dosyasını düzenleyip Airflow kümesine bağlı özel bir GitHub deposuna yüklemek veya mevcut bir DAG dosyasını değiştirmek. Nihai hedef, içe aktarıldığı anda harici bir sunucuya ters kabuk başlatmaktır.
Bunu başarmak için, tehdit aktörünün öncelikle dosyalar için güvenliği ihlal edilmiş bir hizmet sorumlusu veya paylaşılan erişim imzası (SAS) belirteci kullanarak DAG dosyalarını içeren depolama hesabına yazma izinleri alması gerekir. Alternatif olarak sızdırılan kimlik bilgilerini kullanarak Git deposuna girebilirler.
Bu şekilde elde edilen kabuğun, bir Kubernetes bölmesindeki Airflow kullanıcısı bağlamı altında minimum izinlerle çalıştığı tespit edilse de, daha ileri analizler, Airflow çalıştırma bölmesine bağlı küme yöneticisi izinlerine sahip bir hizmet hesabını belirledi.
Bu yanlış yapılandırma, pod’a internet üzerinden erişilebilmesi gerçeğiyle birleştiğinde, saldırganın Kubernetes komut satırı aracı kubectl’i indirebileceği ve sonuçta “ayrıcalıklı bir pod konuşlandırarak ve sunucuya girerek” tüm kümenin tam kontrolünü ele geçirebileceği anlamına geliyordu. temel düğüm.”
Saldırgan daha sonra bulut ortamının derinliklerine inmek için ana bilgisayar sanal makinesine (VM) kök erişiminden yararlanabilir, bazıları depolama hesaplarına ve olay hub’larına yazma erişimi sağlayan Cenevre dahil olmak üzere Azure tarafından yönetilen dahili kaynaklara yetkisiz erişim elde edebilir.
Güvenlik araştırmacıları Ofir Balassiano ve David Orlovsky, “Bu, karmaşık bir saldırganın savunmasız bir Airflow ortamını değiştirebileceği anlamına geliyor” dedi. “Örneğin, bir saldırgan yeni bölmeler ve yeni hizmet hesapları oluşturabilir. Ayrıca değişiklikleri küme düğümlerine kendileri uygulayabilir ve ardından herhangi bir alarm vermeden sahte günlükleri Cenevre’ye gönderebilir.”
“Bu sorun, yetkisiz erişimi önlemek için hizmet izinlerini dikkatli bir şekilde yönetmenin önemini vurguluyor. Ayrıca bu tür erişimi önlemek için kritik üçüncü taraf hizmetlerinin operasyonlarını izlemenin önemini de vurguluyor.”
Açıklama, Datadog Güvenlik Laboratuvarları’nın bir ayrıcalık yükseltme senaryosunu ayrıntılarıyla açıklamasının ardından geldi. Azure Anahtar Kasası Key Vault Katılımcısı rolüne sahip kullanıcıların API anahtarları, parolalar, kimlik doğrulama sertifikaları ve Azure Depolama SAS belirteçleri gibi Key Vault içeriklerini okumasına veya değiştirmesine izin verebilir.
Sorun, Key Vault Katılımcısı rolüne sahip bir kullanıcının, erişim ilkeleriyle yapılandırılmış bir Anahtar Kasası üzerinden Key Vault verilerine doğrudan erişimi olmasa da, rolün kendisini Key Vault erişim ilkelerine ve erişime ekleme izinleriyle birlikte geldiğinin keşfedilmesidir. Key Vault verileri, kısıtlamayı etkili bir şekilde atlıyor.
Güvenlik araştırmacısı Katie Knowles, “Bir politika güncellemesi, anahtar kasasındaki verileri listeleme, görüntüleme, güncelleme ve genel olarak yönetme yeteneğini içerebilir.” söz konusu. “Bu, Key Vault Katılımcısı rolüne sahip bir kullanıcının, hiçbir yetkisi olmamasına rağmen tüm Key Vault verilerine erişim kazanabileceği bir senaryo oluşturdu. [Role-Based Access Control] izinleri yönetme veya verileri görüntüleme izni.”
Microsoft o zamandan beri belgelerini güncelledi erişim politikası riskini vurgulamak için şunu belirterek: “Anahtar kasalarınıza, anahtarlarınıza, gizli dizilerinize ve sertifikalarınıza yetkisiz erişimi ve bunların yönetimini önlemek için, Erişim Politikası izin modeli kapsamında Anahtar kasalarına Katkıda Bulunan rolünün erişimini sınırlamak önemlidir.”
Bu gelişme aynı zamanda Amazon Bedrock CloudTrail günlük kaydında, kötü amaçlı sorguları büyük dil modellerine (LLM’ler) yapılan meşru sorgulardan ayırmayı zorlaştıran ve böylece kötü aktörlerin herhangi bir uyarı vermeden keşif yapmasına olanak tanıyan bir sorunun keşfedilmesini de takip ediyor.
Sysdig araştırmacısı Alessandro Brucato, “Özellikle, başarısız Bedrock API çağrıları, herhangi bir özel hata kodu sağlanmadan, başarılı çağrılarla aynı şekilde günlüğe kaydedildi” dedi söz konusu.
“API yanıtlarında hata bilgilerinin bulunmaması, CloudTrail günlüklerinde yanlış pozitifler oluşturarak tespit çabalarını engelleyebilir. Bu ayrıntı olmadan, güvenlik araçları normal etkinliği şüpheli olarak yanlış yorumlayabilir ve bu da gereksiz uyarılara ve gerçek tehditlerin potansiyel olarak gözden kaçırılmasına yol açabilir.”
