Las plataformas de flujo de aire Apache mal configuradas amenazan a las organizaciones



Muchas organizaciones que utilizan la common plataforma Apache Airflow de código abierto para programar y administrar flujos de trabajo pueden estar exponiendo credenciales y otros datos confidenciales a Internet debido a cómo usan la tecnología, según han descubierto los investigadores.

El proveedor de seguridad Intezer dijo esta semana que recientemente descubrió varias instancias de Airflow mal configuradas que exponen información confidencial perteneciente a organizaciones en múltiples industrias, incluida la fabricación, los medios, los servicios financieros, la tecnología de la información, la biotecnología y la salud.

Los datos expuestos incluían credenciales de usuario para servicios de alojamiento en la nube, procesadores de pago y plataformas de redes sociales, incluidos Slack, AWS y PayPal. Intezer descubrió que al menos algunos de los datos expuestos a través de instancias de Airflow mal configuradas podrían permitir a los actores de amenazas obtener acceso a redes empresariales o ejecutar código malicioso y malware en entornos de producción y en el propio Apache Airflow.

«Es bastante fácil encontrar instancias expuestas», dice Ryan Robinson, investigador de seguridad de Intezer. Para localizar uno, todo lo que debe hacer un actor de amenazas es escanear las direcciones IP y verificarlas en busca del archivo HTML esperado. «Es trivial encontrar información wise en instancias expuestas, pero explotarla para ejecutar código es mucho más difícil y requiere un conocimiento sólido de cada plataforma», agrega Robinson.

Las organizaciones usan Apache Airflow para crear y programar flujos de trabajo automatizados, incluidos los relacionados con servicios externos, como AWS, Google Cloud Platform, Microsoft Azure, Hadoop, Spark y otro program de Apache. A encuesta de su uso en 2020 mostró que la mayoría de sus usuarios son ingenieros de datos, científicos o analistas de datos en empresas medianas y grandes. Más de las tres cuartas partes de las organizaciones hacen poca o ninguna personalización de la tecnología antes de usarla.

Airflow permite a los usuarios organizar trabajos que involucran múltiples tareas, dice Robinson. Por ejemplo, dice, un trabajo puede implicar generar informes y luego enviarlos por correo electrónico a los clientes otro trabajo puede implicar la recopilación, el procesamiento y la carga de datos en los buckets de AWS.

Si bien Airflow ofrece a los usuarios múltiples opciones para usarlo de forma segura, las organizaciones pueden poner en riesgo los datos a través de la forma en que usan la plataforma.

Intezer, por ejemplo, descubrió que las prácticas de codificación inseguras son la causa más común de fugas de credenciales en Airflow. La investigación de Intezer descubrió varias instancias de Airflow en las que las contraseñas se habían codificado en el código Python para orquestar tareas o en una función que permite al usuario definir un valor variable. En otros casos, Intezer descubrió que los usuarios utilizaban incorrectamente una función de Airflow llamada Conexiones y almacenaban contraseñas en texto plano en lugar de cifrarlas.

«Airflow ofrece buenas opciones para almacenar información confidencial de forma segura a través de su función de conexiones», dice Robinson. La función permite a las organizaciones garantizar que las contraseñas que se utilizan para enviar y extraer datos de otros sistemas se almacenen de forma cifrada. «Por ejemplo, una tarea descargará datos de una plataforma usando una clave API, luego procesará estos datos en otra tarea y almacenará estos datos en una base de datos usando una contraseña para conectarse. Un flujo de trabajo puede necesitar interactuar con múltiples sistemas remotos», Robinson dice. Los usuarios a menudo hacen un mal uso de la función Conexiones o codifican directamente las credenciales en los scripts de Python, omitiendo la función por completo, señala.

Prácticas inseguras
Intezer descubrió otras formas en las que los usuarios pueden poner en riesgo los datos empresariales mediante el uso inseguro de Airflows. Un ejemplo involucra la configuración relacionada con un archivo de configuración de Airflow que a menudo contiene información confidencial, como contraseñas y claves. Si la configuración no es segura, cualquiera puede acceder al archivo de configuración desde la interfaz de usuario del servidor world-wide-web, dijo Intezer en su informe. De manera similar, una función en versiones anteriores de Airflow que permite a los usuarios ejecutar consultas de bases de datos advertisement hoc es peligrosa porque no requiere autenticación y permite que cualquier persona con acceso al servidor obtenga información de la base de datos.

Intezer recomienda que todas las organizaciones que utilicen Apache Airflow actualicen a la última versión 2.. de la plataforma y se aseguren de que solo los usuarios autorizados puedan conectarse a ella.

«La versión 2.. ha realizado grandes mejoras en la seguridad», dice Robinson. La nueva versión tiene una API totalmente suitable, a diferencia de la API experimental en versiones anteriores. Otras mejoras importantes incluyen la aplicación de la autenticación y la eliminación de información confidencial de los registros, así como cambios en la estructura del archivo de configuración principal, dice. Algunas funciones más antiguas y peligrosas, como Advert-Hoc Question, han quedado obsoletas en la nueva versión de Airflow.

Robinson dice que es difícil saber con certeza si los atacantes están apuntando a plataformas Airflow configuradas de manera insegura sin embargo, dice que sería razonable suponer que las instancias de Airflow han sido atacadas.



Enlace a la noticia authentic