HackerNews 编译,转载请注明出处:
网络安全研究人员发现了微软Azure Data Factory Apache Airflow集成中的三项安全漏洞,这些漏洞若被成功利用,可能使攻击者能够执行多种隐秘操作,包括数据窃取和恶意软件部署。
“利用这些漏洞,攻击者可以获得对整个Airflow Azure Kubernetes Service (AKS)集群的持续访问权限,成为影子管理员,”Palo Alto Networks的Unit 42团队在本月早些时候发布的一份分析报告中指出。
虽然微软将这些漏洞归类为低严重性,但其具体问题包括:
– Airflow集群中的Kubernetes RBAC配置错误
– Azure内部Geneva服务的密钥处理配置错误
– Geneva服务身份验证机制薄弱
除未经授权访问外,攻击者还可能利用Geneva服务中的漏洞篡改日志数据或发送虚假日志,以掩盖创建新Pod或账户时的恶意行为。
初始攻击途径涉及创建一个定向无环图(DAG)文件并将其上传至连接到Airflow集群的私人GitHub存储库,或者修改现有的DAG文件。其最终目标是在文件导入后立即启动一个反向Shell连接到外部服务器。
要实现这一点,攻击者首先需要通过利用被攻陷的服务主体或文件的共享访问签名(SAS)令牌获得对存储DAG文件的存储账户的写权限。或者,他们可以通过泄露的凭据攻破Git存储库。
虽然通过这种方式获取的Shell在Kubernetes Pod中以Airflow用户的权限运行,其权限有限,但进一步分析发现了一个与Airflow运行器Pod相关联的集群管理员权限服务账户。
这一配置错误,加上Pod可通过互联网访问,使得攻击者能够下载Kubernetes命令行工具kubectl,最终通过部署特权Pod并突破底层节点,实现对整个集群的全面控制。
攻击者随后可利用主机虚拟机(VM)的Root权限进一步深入云环境,未经授权访问Azure托管的内部资源,包括Geneva服务。部分Geneva服务还授予对存储账户和事件中心的写权限。
“这意味着技术高超的攻击者可以修改一个存在漏洞的Airflow环境,”研究人员Ofir Balassiano和David Orlovsky表示。“例如,攻击者可以创建新的Pod和服务账户,甚至修改集群节点,并向Geneva发送伪造的日志而不会引发警报。”
“此问题凸显了严格管理服务权限以防止未经授权访问的重要性,也强调了对关键第三方服务操作进行监控以防止此类访问的必要性。”
此次披露还伴随着Datadog Security Labs的另一发现,即Azure Key Vault中的权限升级场景。攻击者可通过Key Vault Contributor角色读取或修改Key Vault内容,例如API密钥、密码、认证证书和Azure Storage SAS令牌。
问题在于,虽然拥有Key Vault Contributor角色的用户在启用访问策略的Key Vault上无法直接访问数据,但该角色被发现具有添加自身至Key Vault访问策略的权限,从而绕过了权限限制。
“策略更新可能包含列出、查看、更新和全面管理Key Vault数据的能力,”研究人员Katie Knowles解释道。“这导致了一个场景:Key Vault Contributor角色的用户尽管没有[基于角色的访问控制]权限来管理权限或查看数据,但仍可获得所有Key Vault数据的访问权限。”
微软随后更新了其文档,强调访问策略风险:“为了防止未经授权访问和管理您的Key Vault、密钥、机密和证书,必须限制Key Vault Contributor角色对启用访问策略权限模型的Key Vault的访问。”
这一事件发生之际,亚马逊Bedrock CloudTrail日志记录问题也被曝光。该问题使区分针对大语言模型(LLM)的恶意查询与合法查询变得困难,从而允许攻击者进行侦察活动而不引发任何警报。
“具体来说,失败的Bedrock API调用与成功调用记录方式相同,未提供任何特定错误代码,”Sysdig研究员Alessandro Brucato表示。“API响应中缺乏错误信息可能通过在CloudTrail日志中产生误报来阻碍检测工作。没有这些细节,安全工具可能会误将正常活动解读为可疑行为,从而导致不必要的警报并可能忽视真正的威胁。”
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
