Three vulnerabilities in the service’s Apache Airflow integration could have allowed attackers to take shadow administrative control over an enterprise cloud infrastructure, gain access to and exfiltrate data, and deploy malware.
Drei Schwachstellen in der Art und Weise, wie Microsofts Azure-basiert Die Tatsache, dass der Datenintegrationsdienst eine Open-Source-Plattform zur Workflow-Orchestrierung nutzt, könnte es einem Angreifer ermöglicht haben, die administrative Kontrolle über die Azure-Cloud-Infrastrukturen von Unternehmen zu erlangen, wodurch Unternehmen der Exfiltration von Daten, der Verbreitung von Malware und dem unbefugten Zugriff auf Daten ausgesetzt wären.
Forscher von Palo Alto Networks' Unit 42 entdeckten die Schwachstellen - Zwei davon waren Fehlkonfigurationen und die dritte betraf eine schwache Authentifizierung - in der Apache Airflow-Integration von Azure Data Factory. Mit Data Factory können Benutzer Datenpipelines verwalten, wenn sie Informationen zwischen verschiedenen Quellen verschieben, während Apache Airflow die Planung und Orchestrierung komplexer Arbeitsabläufe erleichtert.
Während Microsoft die Schwachstellen als wenig schwerwiegend einstuft, fanden die Forscher von Unit 42 heraus, dass ein Angreifer bei erfolgreicher Ausnutzung dieser Schwachstellen als Schattenadministrator dauerhaften Zugriff auf den gesamten Airflow Azure Kubernetes Service (AKS)-Cluster erlangen kann, sie enthüllten in einem am 17. Dezember veröffentlichten Blogeintrag.
Bei den in Data Factory entdeckten Schwachstellen handelte es sich insbesondere um: eine falsch konfigurierte Kubernetes rollenbasierte Zugriffskontrolle (RBAC) im Airflow-Cluster; eine falsch konfigurierte geheime Handhabung des Azure-internen Geneva-Dienstes, der für die Verwaltung wichtiger Protokolle und Metriken zuständig ist; und eine schwache Authentifizierung für Geneva.
Unbefugter Zugriff auf Azure Cloud bereits entschärft
Die Verwendung von unveränderlichen Standardkonfigurationen in der Airflow-Instanz in Kombination mit der Bindung der Cluster-Administratorrolle an den Airflow-Runner verursachte ein Sicherheitsproblem", das manipuliert werden konnte, um den Airflow-Cluster und die zugehörige Infrastruktur zu kontrollieren", so die Forscher.
Wenn es einem Angreifer gelingt, in den Cluster einzudringen, kann er auch Geneva manipulieren, was es Angreifern ermöglicht, Protokolldaten zu manipulieren oder auf andere sensible Azure-Ressourcen zuzugreifen", schreiben Ofir Balassiano, Manager für KI- und Sicherheitsforschung bei Unit 42, und David Orlovsky, Senior Security Researcher, in dem Beitrag.
Insgesamt verdeutlichen die Schwachstellen, wie wichtig die Verwaltung von Dienstberechtigungen und die Überwachung des Betriebs kritischer Dienste von Drittanbietern in einer Cloud-Umgebung sind, um einen unbefugten Zugriff auf einen Cluster zu verhindern.
Unit 42 informierte Microsoft Azure über die Schwachstellen, die schließlich durch das Microsoft Security Response Center behoben wurden. Die Forscher gaben nicht an, welche Korrekturen vorgenommen wurden, um die Schwachstellen zu entschärfen, und Microsoft reagierte nicht sofort auf die Bitte um Stellungnahme.
Wie Cyberangreifer einen administrativen Erstzugang erhalten
Ein erstes Angriffsszenario besteht darin, dass ein Angreifer unbefugte Schreibrechte für eine von Apache Airflow verwendete DAG-Datei (Directed Acyclic Graph) erlangen kann. DAG-Dateien definieren die Struktur des Arbeitsablaufs als Python-Code; sie geben die Reihenfolge an, in der Aufgaben ausgeführt werden sollen, die Abhängigkeiten zwischen den Aufgaben und die Planungsregeln.
Angreifer haben zwei Möglichkeiten, Zugriff auf DAG-Dateien zu erhalten und diese zu manipulieren. Sie können sich Schreibrechte für das Speicherkonto mit den DAG-Dateien verschaffen, indem sie ein Hauptkonto mit Schreibrechten ausnutzen, oder sie können ein SAS-Token (Shared Access Signature) verwenden, das temporären und begrenzten Zugriff auf eine DAG-Datei gewährt.
In diesem Szenario bleibt eine manipulierte DAG-Datei so lange unbemerkt, bis die DAG-Dateien vom Opfer importiert werden", so die Forscher.
Die zweite Möglichkeit ist der Zugriff auf ein Git-Repository mit durchgesickerten Anmeldedaten oder einem falsch konfigurierten Repository. Sobald dies der Fall ist, kann der Angreifer eine bösartige DAG-Datei erstellen oder eine bestehende ändern, und das Verzeichnis, das die bösartige DAG-Datei enthält, wird automatisch importiert.
In ihrem Angriffsablauf verwendeten die Forscher von Unit 42 die Durchgesickerte Anmeldedaten für das Git-Repository Szenario, um auf eine DAG-Datei zuzugreifen. "In diesem Fall führt Airflow die kompromittierte DAG-Datei aus, sobald der Angreifer sie manipuliert hat, und der Angreifer erhält eine Reverse Shell", heißt es in dem Beitrag.
Der grundlegende Arbeitsablauf eines Angreifers sieht also vor, dass er zunächst eine DAG-Datei erstellt, die eine Reverse-Shell zu einem Remote-Server öffnet und beim Import automatisch ausgeführt wird. Die bösartige DAG-Datei wird dann in ein privates GitHub-Repository hochgeladen, das mit dem Airflow-Cluster verbunden ist.
"Airflow importiert und führt die DAG-Datei automatisch aus dem verbundenen Git-Repository aus und öffnet eine Reverse-Shell auf einem Airflow-Worker", erklären die Forscher. "An diesem Punkt erlangten wir Cluster-Administratorrechte durch ein Kubernetes-Service-Konto, das mit einem Airflow-Worker verbunden war.
Der Angriff kann dann von dort aus eskalieren, um einen Cluster zu übernehmen, den Shadow-Admin-Zugang zu nutzen, um Shadow-Workloads für Cryptomining oder die Ausführung anderer Malware zu erstellen, Daten aus der Unternehmens-Cloud zu exfiltrieren und Genf auszunutzen, um andere Azure-Endpunkte für weitere bösartige Aktivitäten zu erreichen, schreiben die Forscher.
Cloud-Sicherheit sollte über den Cluster hinausgehen
Cloud-basierte Angriffe beginnen oft damit, dass sich die Angreifer auf lokale Fehlkonfigurationenund der Exploit-Flow verdeutlicht erneut, wie eine gesamte Cloud-Umgebung aufgrund von Schwachstellen, die in einem einzelnen Knoten oder Cluster ausgenutzt werden, einem Risiko ausgesetzt sein kann.
Das Szenario zeigt, wie wichtig es ist, über die bloße Sicherung der Grenzen eines Cloud-Clusters hinauszugehen und einen umfassenderen Ansatz für die Cloud-Sicherheit zu verfolgen, der berücksichtigt, was passiert, wenn Angreifer diese Grenze durchbrechen, so Unit 42.
Diese Strategie sollte "die Sicherung von Berechtigungen und Konfigurationen innerhalb der Umgebung selbst sowie die Verwendung von Richtlinien- und Audit-Engines zur Erkennung und Vermeidung künftiger Vorfälle sowohl innerhalb des Clusters als auch in der Cloud umfassen", schreiben die Forscher.
Unternehmen sollten auch sensible Datenbestände schützen, die mit verschiedenen Diensten in der Cloud interagieren, um zu verstehen, welche Daten mit welchem Datendienst verarbeitet werden, fügten sie hinzu. So wird sichergestellt, dass die Abhängigkeiten zwischen den Diensten bei der Absicherung der Cloud berücksichtigt werden.