Istraživači cyber sigurnosti otkrili su tri sigurnosne slabosti u Microsoftovoj Azure Data Factory Apache Airflow integraciji koja bi, ako je bila uspješno iskorištena, mogla omogućiti napadaču da stekne mogućnost izvođenja različitih tajnih radnji, uključujući eksfiltraciju podataka i postavljanje malicioznog softvera.
“Iskorišćavanje ovih nedostataka moglo bi omogućiti napadačima da dobiju uporan pristup kao administratori u sjeni cijelom klasteru Airflow Azure Kubernetes Service (AKS)”, navodi se u analizi Palo Alto Networks Unit 42 objavljenoj ranije ovog mjeseca.
Ranjivosti, iako ih je Microsoft klasificirao kao niske ozbiljnosti, navedene su u nastavku –
- Pogrešno konfigurisan Kubernetes RBAC u Airflow klasteru
- Pogrešno konfigurisano tajno rukovanje Azure internom Ženevskom uslugom, i
- Slaba autentifikacija za Ženevu
Osim dobijanja neovlaštenog pristupa, napadač bi mogao iskoristiti nedostatke u Ženevskoj usluzi da potencijalno mijenja podatke dnevnika ili šalje lažne zapise kako bi izbjegao izazivanje sumnje prilikom kreiranja novih podova ili naloga.
Početna tehnika pristupa uključuje izradu datoteke usmjerenog acikličkog grafa ( DAG ) i njeno postavljanje u privatno GitHub spremište povezano s Airflow klasterom ili izmjenu postojeće DAG datoteke. Krajnji cilj je pokrenuti obrnutu ljusku na eksterni server čim se uveze.
Da bi to izveo, haker će prvo morati dobiti dozvole za pisanje na račun za pohranu koji sadrži DAG datoteke korištenjem kompromitovanog principala usluge ili tokena zajedničkog pristupa (SAS) za datoteke. Alternativno, mogu provaliti u Git spremište koristeći procurele vjerodajnice.
Iako je otkriveno da se ljuska dobijena na ovaj način izvodi u kontekstu korisnika Airflow u Kubernetes podu s minimalnim dozvolama, daljnjom analizom je identifikovan servisni račun sa dozvolama administratora klastera povezan sa Airflow runner podom.
Ova pogrešna konfiguracija, zajedno sa činjenicom da je pod mogao biti dostupan preko interneta, značilo je da je napadač mogao preuzeti Kubernetes alatku komandne linije kubectl i na kraju preuzeti potpunu kontrolu nad cijelim klasterom tako što će “postaviti privilegirani pod i probiti se na osnovni čvor.”
Napadač bi tada mogao iskoristiti root pristup virtuelnoj mašini (VM) da bi se dublje uvukao u okruženje cloud-a, dobio neovlašćeni pristup internim resursima kojima upravlja Azure, uključujući Ženevu, od kojih neki daju pristup za pisanje nalozima za skladištenje i čvorištima događaja.
“To znači da bi sofisticirani napadač mogao modificirati ranjivo okruženje protoka zraka”, rekli su istraživači sigurnosti Ofir Balassiano i David Orlovsky. “Na primjer, napadač bi mogao kreirati nove podove i nove servisne račune. Takođe bi mogao primijeniti promjene na samim čvorovima klastera i zatim poslati lažne zapise u Ženevu bez podizanja alarma.”
“Ovo pitanje naglašava važnost pažljivog upravljanja dozvolama usluga kako bi se spriječio neovlašteni pristup. Takođe naglašava važnost nadgledanja operacija kritičnih usluga trećih strana kako bi se spriječio takav pristup.”
Otkrivanje dolazi nakon što je Datadog Security Labs detaljno objasnio scenario eskalacije privilegija u Azure Key Vault- u koji bi mogao omogućiti korisnicima s ulogom Key Vault Contributor da čitaju ili modificiraju sadržaj Key Vaulta, kao što su API ključevi, lozinke, certifikati za autentifikaciju i Azure Storage SAS tokeni .
Problem je u tome što, iako korisnik sa ulogom Key Vault Contributor nije imao direktan pristup podacima Key Vault-a preko trezora ključeva konfigurisanog s politikama pristupa, otkriveno je da je uloga došla s dozvolama da se doda politikama pristupa i pristupu Key Vault-u. Ključni Vault podaci, efektivno zaobilazeći ograničenje.
“Ažuriranje politike može sadržavati mogućnost popisivanja, pregleda, ažuriranja i opčenito upravljanja podacima unutar trezora ključeva”, rekla je istraživačica sigurnosti Katie Knowles . “Ovo je stvorilo scenario u kojem korisnik sa ulogom Key Vault Contributor može dobiti pristup svim podacima Key Vault-a, uprkos tome što nema [Kontrolu pristupa zasnovanu na ulozi] dozvolu za upravljanje dozvolama ili pregled podataka.”
Microsoft je od tada ažurirao svoju dokumentaciju kako bi naglasio rizik politike pristupa, navodeći: “Da biste spriječili neovlašteni pristup i upravljanje vašim trezorima ključeva, ključevima, tajnama i certifikatima, bitno je ograničiti pristup uloge Contributor trezorima ključeva prema modelu dozvole Politike pristupa .”
Razvoj takođe prati otkrivanje problema s evidentiranjem Amazon Bedrock CloudTrail-a koji je otežavao razlikovanje malicioznih upita od legitimnih upućenih velikim jezičkim modelima (LLM-ovima), omogućavajući tako hakerima da provode izviđanje bez ikakvog upozorenja.
“Konkretno, neuspjeli Bedrock API pozivi evidentirani su na isti način kao i uspješni pozivi, bez davanja bilo kakvih specifičnih kodova grešaka”, rekao je istraživač Sysdig-a Alessandro Brucato .
“Nedostatak informacija o grešci u odgovorima API-ja može ometati napore otkrivanja generiranjem lažnih pozitivnih rezultata u CloudTrail logovima. Bez ovog detalja, sigurnosni alati mogu pogrešno protumačiti normalnu aktivnost kao sumnjivu, što dovodi do nepotrebnih upozorenja i potencijalnog nadzora stvarnih prijetnji.”
Izvor:The Hacker News
