Investigadores de ciberseguridad han descubierto tres debilidades de seguridad en Azure Data Factory de Microsoft Flujo de aire Apache<\/a> integraci\u00f3n que, si se hubiera explotado con \u00e9xito, podr\u00eda haber permitido a un atacante obtener la capacidad de realizar diversas acciones encubiertas, incluida la exfiltraci\u00f3n de datos y la implementaci\u00f3n de malware.<\/p>\n “Explotar estas fallas podr\u00eda permitir a los atacantes obtener acceso persistente como administradores en la sombra sobre todo el cl\u00faster Airflow Azure Kubernetes Service (AKS)”, Unidad 42 de Palo Alto Networks dicho<\/a> en un an\u00e1lisis publicado a principios de este mes.<\/p>\n Las vulnerabilidades, aunque clasificadas como de baja gravedad por Microsoft, se enumeran a continuaci\u00f3n:<\/p>\n Adem\u00e1s de obtener acceso no autorizado, el atacante podr\u00eda aprovechar las fallas en el servicio de Ginebra para alterar potencialmente los datos de registro o enviar registros falsos para evitar levantar sospechas al crear nuevos pods o cuentas.<\/p>\n La t\u00e9cnica de acceso inicial implica la elaboraci\u00f3n de un gr\u00e1fico ac\u00edclico dirigido (TROZO DE CUERO<\/a>) y cargarlo en un repositorio privado de GitHub conectado al cl\u00faster de Airflow, o modificar un archivo DAG existente. El objetivo final es iniciar un shell inverso a un servidor externo tan pronto como se importe.<\/p>\n Para lograr esto, el actor de la amenaza primero tendr\u00e1 que obtener permisos de escritura en la cuenta de almacenamiento que contiene los archivos DAG utilizando una entidad de servicio comprometida o un token de firma de acceso compartido (SAS) para los archivos. Alternativamente, pueden ingresar a un repositorio de Git utilizando credenciales filtradas.<\/p>\n Aunque se descubri\u00f3 que el shell obtenido de esta manera se ejecutaba en el contexto del usuario de Airflow en un m\u00f3dulo de Kubernetes con permisos m\u00ednimos, un an\u00e1lisis m\u00e1s detallado identific\u00f3 una cuenta de servicio con permisos de administrador de cl\u00faster conectada al m\u00f3dulo de ejecuci\u00f3n de Airflow.<\/p>\n Esta mala configuraci\u00f3n, junto con el hecho de que se pod\u00eda acceder al pod a trav\u00e9s de Internet, significaba que el atacante pod\u00eda descargar la herramienta de l\u00ednea de comandos de Kubernetes kubectl y, en \u00faltima instancia, tomar el control total de todo el cl\u00faster “implementando un pod privilegiado e irrumpiendo en el nodo subyacente.”<\/p>\n Luego, el atacante podr\u00eda aprovechar el acceso ra\u00edz a la m\u00e1quina virtual (VM) host para profundizar en el entorno de la nube y obtener acceso no autorizado a los recursos internos administrados por Azure, incluido Geneva, algunos de los cuales otorgan acceso de escritura a cuentas de almacenamiento y centros de eventos.<\/p>\n “Esto significa que un atacante sofisticado podr\u00eda modificar un entorno vulnerable de Airflow”, dijeron los investigadores de seguridad Ofir Balassiano y David Orlovsky. “Por ejemplo, un atacante podr\u00eda crear nuevos pods y nuevas cuentas de servicio. Tambi\u00e9n podr\u00eda aplicar cambios a los nodos del cl\u00faster y luego enviar registros falsos a Ginebra sin dar la alarma”.<\/p>\n “Este problema resalta la importancia de administrar cuidadosamente los permisos de los servicios para evitar el acceso no autorizado. Tambi\u00e9n resalta la importancia de monitorear las operaciones de servicios cr\u00edticos de terceros para evitar dicho acceso”.<\/p>\n La divulgaci\u00f3n se produce cuando Datadog Security Labs detall\u00f3 un escenario de escalada de privilegios en B\u00f3veda de claves de Azure<\/a> que podr\u00eda permitir a los usuarios con el rol Colaborador de Key Vault leer o modificar el contenido de Key Vault, como claves API, contrase\u00f1as, certificados de autenticaci\u00f3n y tokens SAS de Azure Storage.<\/p>\n El problema es que, si bien un usuario con la funci\u00f3n Colaborador de Key Vault no ten\u00eda acceso directo a los datos de Key Vault a trav\u00e9s de una b\u00f3veda de claves configurada con pol\u00edticas de acceso, se descubri\u00f3 que la funci\u00f3n s\u00ed inclu\u00eda permisos para agregarse a las pol\u00edticas de acceso de Key Vault y acceder Datos de Key Vault, evitando efectivamente la restricci\u00f3n.<\/p>\n “Una actualizaci\u00f3n de pol\u00edtica podr\u00eda contener la capacidad de enumerar, ver, actualizar y, en general, administrar los datos dentro de la b\u00f3veda de claves”, dijo la investigadora de seguridad Katie Knowles. dicho<\/a>. “Esto cre\u00f3 un escenario en el que un usuario con el rol de colaborador de Key Vault pod\u00eda obtener acceso a todos los datos de Key Vault, a pesar de no tener [Role-Based Access Control] permiso para administrar permisos o ver datos.”<\/p>\n Microsoft desde entonces actualiz\u00f3 su documentaci\u00f3n<\/a> para enfatizar el riesgo de la pol\u00edtica de acceso, indica: “Para evitar el acceso no autorizado y la administraci\u00f3n de sus almacenes de claves, claves, secretos y certificados, es esencial limitar el acceso del rol de colaborador a los almacenes de claves seg\u00fan el modelo de permiso de la pol\u00edtica de acceso”.<\/p>\n El desarrollo tambi\u00e9n sigue al descubrimiento de un problema con el registro de Amazon Bedrock CloudTrail que dificultaba diferenciar las consultas maliciosas de las leg\u00edtimas realizadas a modelos de lenguaje grandes (LLM), lo que permit\u00eda a los malos actores realizar reconocimientos sin generar ninguna alerta.<\/p>\n “Espec\u00edficamente, las llamadas fallidas a la API de Bedrock se registraron de la misma manera que las llamadas exitosas, sin proporcionar ning\u00fan c\u00f3digo de error espec\u00edfico”, dijo el investigador de Sysdig, Alessandro Brucato. dicho<\/a>.<\/p>\n “La falta de informaci\u00f3n de error en las respuestas de la API puede obstaculizar los esfuerzos de detecci\u00f3n al generar falsos positivos en los registros de CloudTrail. Sin este detalle, las herramientas de seguridad pueden malinterpretar la actividad normal como sospechosa, lo que genera alertas innecesarias y una posible supervisi\u00f3n de amenazas genuinas”.<\/p>\n <\/p>\n\n
![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/Kubernetes-RBAC-mal-configurado-en-Azure-Airflow-podria-exponer-a.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n