據(jù)研究人員稱，發(fā)現(xiàn)舊版本的ApacheAirflow暴露了流行服務(wù)的憑據(jù)，包括云托管提供商、社交媒體平臺(tái)和支付處理服務(wù)。ApacheAirflow是GitHub上星級(jí)最高的開源工作流應(yīng)用程序，用于自動(dòng)化業(yè)務(wù)和IT任務(wù)。

Intezer的網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)，舊版本中的錯(cuò)誤配置不僅會(huì)泄露數(shù)據(jù)，而且可能會(huì)在暴露的生產(chǎn)環(huán)境中啟用惡意代碼執(zhí)行。

我們正在研究我們的讀者如何將VPN與Netflix等流媒體網(wǎng)站結(jié)合使用，以便我們改進(jìn)內(nèi)容并提供更好的建議。此調(diào)查不會(huì)占用您超過(guò)60秒的時(shí)間，如果您能與我們分享您的經(jīng)驗(yàn)，我們將不勝感激。

“這次泄漏非常嚴(yán)重。與影響個(gè)人用戶帳戶的更傳統(tǒng)的憑據(jù)泄漏不同，這些憑據(jù)泄漏會(huì)影響整個(gè)應(yīng)用程序框架實(shí)例，”事件響應(yīng)公司BreachQuestInc.的聯(lián)合創(chuàng)始人兼首席技術(shù)官JakeWilliams告訴SiliconANGLE。

研究人員在解釋曝光時(shí)指出，Airflow使用標(biāo)準(zhǔn)Python來(lái)創(chuàng)建和安排工作流程。自2015年以來(lái)，該項(xiàng)目已經(jīng)發(fā)布了兩個(gè)主要版本，但隨后又有幾個(gè)臨時(shí)版本提高了平臺(tái)的安全性。

為了說(shuō)明舊版本的謬誤，研究人員指出v1.10之前的Airflow版本允許用戶在沒有任何身份驗(yàn)證的情況下對(duì)數(shù)據(jù)庫(kù)運(yùn)行即席查詢，這對(duì)于暴露于互聯(lián)網(wǎng)的生產(chǎn)數(shù)據(jù)庫(kù)來(lái)說(shuō)是一種危險(xiǎn)的能力.

通過(guò)關(guān)注較舊的、不安全的版本，研究人員發(fā)現(xiàn)配置錯(cuò)誤的實(shí)例也會(huì)暴露憑據(jù)，使威脅行為者可以訪問(wèn)AWS、GoogleCloud、WhatsApp、Slack、MySQL、Binance、PayPal、Stripe和其他平臺(tái)上的合法帳戶和數(shù)據(jù)庫(kù)。多很多。

在一個(gè)奇怪的發(fā)現(xiàn)中，研究人員透露，除了錯(cuò)誤配置之外，許多憑據(jù)還通過(guò)不安全的編碼實(shí)踐暴露出來(lái)，例如生產(chǎn)代碼中的硬編碼密碼。

Intezer已通知所有受影響的實(shí)體，敦促他們修復(fù)錯(cuò)誤配置的Airflow實(shí)例，即使它要求ApacheAirflow用戶確保他們立即將舊實(shí)例更新到最新實(shí)例。

標(biāo)簽：