Apache Airflowの設定ミスによる不具合を調査していたところ、ウェブ上で公開されている多くのインスタンスから、有名なハイテク企業の認証情報などの機密情報が流出していることが判明しました。
Apache Airflowは、タスクを整理・管理するためのオープンソースのワークフロー管理プラットフォームとして人気があるものです。
セキュリティ企業のIntezer社の研究者であるNicole Fishbein氏とRyan Robinson氏は、大手ハイテク企業が運営するApache Airflowサーバー全体での設定ミスを特定した方法の詳細を公開しました。
この設定ミスにより、Slack、PayPal、Amazon Web Services(AWS)など、人気の高いプラットフォームやサービスの数千もの認証情報を含む、センシティブなデータが流出したと研究者はコメントしています。
Apache AirflowはGitHubで人気No.1のオープンソース・ワークフロー・アプリケーション
ワークフロー管理プラットフォームは、ビジネスやITタスクを自動化するための不可欠なツールです。これらのプラットフォームは、ワークフローの作成、スケジューリング、監視を容易にします。一般的には、クラウド上でホストされ、アクセス性と拡張性を高めています。一方で、設定ミスによりインターネット経由でのアクセスを許してしまうと、これらのプラットフォームは攻撃者に悪用される可能性が高くなります。
人気の高いワークフロープラットフォームであるApache Airflowの設定ミスを調査していたところ、保護されていないインスタンスが多数発見されました。これらの保護されていないインスタンスは、メディア、金融、製造、情報技術(IT)、バイオテクノロジー、電子商取引、健康、エネルギー、サイバーセキュリティ、輸送などの業界の企業の機密情報を公開しています。
脆弱なエアフローでは、Slack、PayPal、AWSなどの一般的なプラットフォームやサービスの認証情報が公開されていることが確認されています。
主な調査結果
誤って設定された多数のエアフローインスタンスにより、クラウドホスティングプロバイダ、決済処理、ソーシャルメディアプラットフォームなどの人気サービスの認証情報が公開されています。
ユーザー認証情報などの秘密が公開されると、データの漏洩を引き起こしたり、攻撃者がシステム内でさらに拡散する能力を提供したりする可能性があります。
データ漏洩の結果として公開されたお客様のデータは、データ保護法に違反し、法的措置を取られる可能性があります。
また、公開された本番環境、さらにはApache Airflow自体に悪意のあるコード実行やマルウェアが起動する可能性もあります。
サービスやプラットフォームからの認証情報の流出
一般的に利用されているサービスやプラットフォームからの認証情報の流出を確認しました。
これらの安全性が確保されていないインスタンスは、メディア、金融、製造、情報技術(IT)、バイオテクノロジー、電子商取引、健康、エネルギー、サイバーセキュリティ、輸送の各業界の企業の機密情報を公開してしまっています。
と述べています。
Airflow社のサーバーで見られた最も一般的な認証情報漏洩の原因は、安全でないコーディング方法とのことでした。
例えば、Python DAGコード内にハードコードされたパスワードを持つ様々なプロダクションインスタンスが発見されています
本番環境の認証情報が漏洩
パスワードはハードコードしないで、イメージや依存関係の長い名前を活用すべきです。たとえアプリケーションがインターネットからファイアウォールで遮断されていると思っていても、不適切なコーディングをしていれば保護されません
とFishbeinとRobinsonは警告しています。
また、設定ミスの事例として、設定ファイルが公開されているAirflowサーバを確認されています。
設定ファイル(airflow.cfg)は、Airflowが最初に起動したときに作成されます。設定ファイル(airflow.cfg)は、Airflowの初回起動時に作成され、Airflowの設定が含まれており、変更することができます。このファイルには、パスワードや鍵などの秘密が含まれています。
しかし、このファイルのexpose_config
オプションを誤って’True’に設定してしまうと、ウェブサーバーを介して誰もが設定内容にアクセスできるようになり、これらの秘密を見ることができるようになってしまうのです。
他にも、Airflowの「変数」に保存されている機密データを不正なユーザーが編集して悪意のあるコードを注入したり、「接続」機能の認証情報を暗号化されていない「Extra」フィールドに保存されているJSON blobを誰にでも見えるように不適切に使用したりする事例が確認されています。
今回の調査では、不適切に設定されたAirflow資産の特定に加えて、ソフトウェアのアップデートを遅らせることによるリスクにも注目しました。
Intezerによると、これらの欠陥の大部分は、2015年のAirflow v1.xを実行しているサーバーで確認されたもので、現在もさまざまなセクションの組織で使用されています。
Airflowのバージョン2では、すべての操作に認証を必要とするREST APIをはじめ、多くの新しいセキュリティ機能が導入されました。バージョン2では、ログに機密情報を保存せず、設定オプションはデフォルトのままではなく、管理者が明示的に確認するようになっています。
バージョンアップやパッチの適用を先延ばしにした結果、セキュリティ上の欠陥によって顧客の記録や機密データが流出すると、GDPRなどのデータ保護法に抵触する恐れがあります。
「不十分なサイバーセキュリティ対策によって顧客の業務を妨害することは、集団訴訟などの法的措置につながる可能性もあります」とアドバイスしています。
Intezer社は、今回の調査結果を公表する前に、脆弱なAirflowインスタンスを介して機密データを漏洩している特定の組織や団体に通知したとしています。
「バージョン2での大きな変更点を踏まえ、すべてのAirflowインスタンスのバージョンを最新のものに更新することを強く推奨します。また、許可されたユーザーのみが接続できるようにしてください」と、Intezer社の研究者は警告しています。
Comments