0xNews - 아파치 인스턴스의 버그로 인해 자격 증명 누출

0xNews - 아파치 인스턴스의 버그로 인해 자격 증명 누출

Intezer 발표

https://www.intezer.com/blog/cloud-security/misconfigured-airflows-leak-credentials/

아파치 Apache Airflow 인스턴스의 이전 버전에서 잘못된 환경 구성 발견

이로 인해 AWS, Bianace, Google GCP 등과 같은 유명한 플랫폼과 PayPay, Slack, Stripe 등에서 자격 증명 노출

보안되지 않은 인스턴스는 미디어, 금융, 제조업, IT, 생명공학, 헬스, 에너지 등 다양한 산업 전반에 걸쳐 이를 사용한 기업의 민감한 정보가 노출된 것으로 확인

Apache Airflow 는 2015년 6월 처음 출시

AWSA, GCP, MS Azure 와 기타 타사 서비스에서 워크플로를 프로그래밍 방식으로 예약하고 모니터링할 수 있는 오픈소스 워크플로 관리 플랫폼

Luigi, Kubeflow, MLflow 가 뒤를 잇는 가장 인기 있는 작업 오케스트레이션 도구 중 하나

이번에 발견된 버그는 일반적으로 안전하지 않은 코딩 관행에서 비롯된 Python DAG 코드 혹은 변수에 하드코딩된 데이터베이스 암호 사용, Airflow 연결 시 추가 필드에 일반 텍스트 자격 증명, 구성 파일 - airflow.cfg 에 일반 텍스트 키 사용 등이 포함

잘못 구성된 Airflow 인스턴스와 관련된 주요 우려 사항 중 하나는 위협 행위자가 계정이나 데이터베이스에 대한 접속 권한을 얻기 위해 악용할 수 있는 자격 증명이 노출

이를 통해 데이터 접속을 통한 정보 노출로 이어져 사이드 접속을 통한 추가적인 데이터 유출이 발생 가능

많은 수의 암호가 표시되면 위협 행위자가 이 데이터를 사용하여 패턴과 일반적인 단어를 탐지하여 다른 암호를 유추 가능

이것은 다른 플랫폼에 대한 사전 조사나 무차별 대입 공격에 활용 가능

더욱 우려되는 점은 무단 코드가 포함된 다른 이미지를 가리키도록 컨테이너 이미지 변수를 수정하기 위해 변수 기능을 활용

노출된 프로덕션 환경에서 맬웨어가 실행될 수 있는 공격 가능성 확인

Apache Airflow 는 2020년 12월 릴리스된 v.2.0.0 에서 많은 보안 문제를 해결

하지만 사용자가 최신 버전으로 업데이트를 통한 관리와 비밀번호가 노출되지 않도록 보안 코딩 방식을 채택하는 것이 중요