Некорректно настроенные серверы Apache Airflow привели к утечке тысяч учетных данных

Специалисты из ИБ-компании Intezer обнаружили некорректные настройки конфигурации в популярной платформе управления рабочими процессами с открытым исходным кодом Apache Airflow. Ошибки привели к утечке конфиденциальной информации, в том числе тысяч учетных данных с популярных платформ и сервисов, таких как Slack, PayPal и Amazon Web Services (AWS).

В различных сценариях, проанализированных исследователями, наиболее частой причиной утечки учетных данных были небезопасные методы кодирования. Например, команда Intezer обнаружила различные производственные установки со встроенными паролями внутри кода Python DAG.

В другом случае неправильной конфигурации исследователи обнаружили серверы Airflow с общедоступным файлом конфигурации. Файл конфигурации (airflow.cfg) создается при первом запуске Airflow. Он содержит конфигурацию Airflow, а также пароли и ключи. Если для параметра expose_config в файле по ошибке установлено значение True, конфигурация становится доступной для всех пользователей через web-сервер, который теперь может просматривать секреты.

Прочие примеры включают конфиденциальные данные, хранящиеся в «Переменных» Airflow, которые могут быть отредактированы неавторизованным пользователем для внедрения вредоносного кода, а также неправильное использование функции Connections учетные данные хранятся в незашифрованном поле Extra в виде больших двоичных объектов JSON.

Подавляющее большинство проблем было обнаружено на серверах под управлением Airflow версии v1.x от 2015 года, которые до сих пор используются организациями из разных секторов.

В версии Airflow 2 было введено много новых функций безопасности, включая REST API, который требует аутентификации для всех операций. Более новая версия также не хранит конфиденциальную информацию в журналах и заставляет администратора явно подтверждать параметры конфигурации, а не использовать параметры по умолчанию.