Peneliti keamanan siber telah menemukan tiga kelemahan keamanan dalam integrasi Azure Data Factory Apache Airflow milik Microsoft yang, jika berhasil dieksploitasi, dapat memungkinkan penyerang memperoleh kemampuan untuk melakukan berbagai tindakan rahasia, termasuk eksfiltrasi data dan penyebaran malware.
“Memanfaatkan kelemahan ini dapat memungkinkan penyerang mendapatkan akses terus-menerus sebagai administrator bayangan di seluruh cluster Airflow Azure Kubernetes Service (AKS),” kata Palo Alto Networks Unit 42 dalam analisis yang diterbitkan awal bulan ini.
Kerentanannya, meskipun diklasifikasikan sebagai tingkat keparahan rendah oleh Microsoft, tercantum di bawah ini –
- RBAC Kubernetes yang salah dikonfigurasi di kluster Airflow
- Penanganan rahasia layanan internal Jenewa Azure yang salah dikonfigurasi, dan
- Otentikasi lemah untuk Jenewa
Selain mendapatkan akses tidak sah, penyerang dapat memanfaatkan kelemahan dalam layanan Jenewa untuk berpotensi merusak data log atau mengirim log palsu untuk menghindari kecurigaan saat membuat pod atau akun baru.
Teknik akses awal melibatkan pembuatan file grafik asiklik terarah (DAG) dan mengunggahnya ke repositori GitHub pribadi yang terhubung ke kluster Airflow, atau mengubah file DAG yang sudah ada. Tujuan akhirnya adalah meluncurkan shell terbalik ke server eksternal segera setelah diimpor.
Untuk melakukan hal ini, pelaku ancaman harus terlebih dahulu mendapatkan izin menulis ke akun penyimpanan yang berisi file DAG dengan memanfaatkan perwakilan layanan yang telah disusupi atau token tanda tangan akses bersama (SAS) untuk file tersebut. Alternatifnya, mereka dapat membobol repositori Git menggunakan kredensial yang bocor.
Meskipun shell yang diperoleh dengan cara ini ditemukan berjalan di bawah konteks pengguna Airflow di pod Kubernetes dengan izin minimal, analisis lebih lanjut mengidentifikasi akun layanan dengan izin admin cluster yang terhubung ke pod runner Airflow.
Kesalahan konfigurasi ini, ditambah dengan fakta bahwa pod dapat dijangkau melalui internet, berarti penyerang dapat mengunduh alat baris perintah Kubernetes kubectl dan pada akhirnya mengambil kendali penuh atas keseluruhan cluster dengan “menyebarkan pod yang memiliki hak istimewa dan menerobos ke dalam pod tersebut.” simpul yang mendasarinya.”
Penyerang kemudian dapat memanfaatkan akses root ke mesin virtual (VM) host untuk menggali lebih dalam ke lingkungan cloud, mendapatkan akses tidak sah ke sumber daya internal yang dikelola Azure, termasuk Jenewa, beberapa di antaranya memberikan akses tulis ke akun penyimpanan dan hub peristiwa.
“Ini berarti penyerang canggih dapat memodifikasi lingkungan Airflow yang rentan,” kata peneliti keamanan Ofir Balassiano dan David Orlovsky. “Misalnya, penyerang dapat membuat pod baru dan akun layanan baru. Mereka juga dapat menerapkan perubahan pada node cluster itu sendiri dan kemudian mengirimkan log palsu ke Jenewa tanpa menimbulkan peringatan.”
“Masalah ini menyoroti pentingnya pengelolaan izin layanan secara hati-hati untuk mencegah akses tidak sah. Masalah ini juga menyoroti pentingnya memantau pengoperasian layanan pihak ketiga yang penting untuk mencegah akses tersebut.”
Pengungkapan ini terjadi saat Datadog Security Labs merinci skenario peningkatan hak istimewa di Azure Key Vault yang dapat mengizinkan pengguna dengan peran Kontributor Key Vault untuk membaca atau mengubah konten Key Vault, seperti kunci API, kata sandi, sertifikat autentikasi, dan token Azure Storage SAS .
Masalahnya adalah meskipun pengguna dengan peran Kontributor Key Vault tidak memiliki akses langsung ke data Key Vault melalui brankas kunci yang dikonfigurasi dengan kebijakan akses, ditemukan bahwa peran tersebut memiliki izin untuk menambahkan dirinya ke kebijakan akses dan akses Key Vault Data Key Vault, secara efektif melewati batasan.
“Pembaruan kebijakan dapat berisi kemampuan untuk membuat daftar, melihat, memperbarui, dan secara umum mengelola data dalam brankas kunci,” kata peneliti keamanan Katie Knowles. “Hal ini menciptakan skenario di mana pengguna dengan peran Kontributor Key Vault dapat memperoleh akses ke semua data Key Vault, meskipun tidak memilikinya [Role-Based Access Control] izin untuk mengelola izin atau melihat data.”
Microsoft telah memperbarui dokumentasinya untuk menekankan risiko kebijakan akses, dengan menyatakan: “Untuk mencegah akses tidak sah dan pengelolaan brankas kunci, kunci, rahasia, dan sertifikat Anda, penting untuk membatasi akses peran Kontributor ke brankas kunci berdasarkan model izin Kebijakan Akses .”
Perkembangan ini juga mengikuti penemuan masalah pada logging Amazon Bedrock CloudTrail yang menyulitkan untuk membedakan kueri berbahaya dari kueri sah yang dibuat ke model bahasa besar (LLM), sehingga memungkinkan pihak jahat melakukan pengintaian tanpa menimbulkan peringatan apa pun.
“Secara khusus, panggilan API Bedrock yang gagal dicatat dengan cara yang sama seperti panggilan yang berhasil, tanpa memberikan kode kesalahan spesifik apa pun,” kata peneliti Sysdig, Alessandro Brucato.
“Kurangnya informasi kesalahan dalam respons API dapat menghambat upaya deteksi dengan menghasilkan positif palsu dalam log CloudTrail. Tanpa detail ini, alat keamanan dapat salah menafsirkan aktivitas normal sebagai aktivitas mencurigakan, sehingga menyebabkan peringatan yang tidak perlu dan potensi pengawasan terhadap ancaman asli.”
