Azure Airflow 中 Kubernetes RBAC 配置错误可能导致整个集群遭受攻击

admin
admin
admin
140350
文章
117
评论
2025年1月1日21:27:05评论17 views字数 1897阅读6分19秒阅读模式
Azure Airflow 中 Kubernetes RBAC 配置错误可能导致整个集群遭受攻击

网络安全研究人员发现了微软 Azure 数据工厂Apache Airflow集成中的三个安全漏洞,如果成功利用,攻击者可能获得开展各种秘密行动的能力,包括数据泄露和恶意软件部署。

Palo Alto Networks Unit 42在本月早些时候发布的分析报告中表示:“利用这些漏洞可以让攻击者以影子管理员的身份获得对整个 Airflow Azure Kubernetes Service (AKS) 集群的持续访问权限。”

尽管微软将这些漏洞归类为低严重性漏洞,但具体列表如下:

  • • Airflow 集群中 Kubernetes RBAC 配置错误

  • • Azure 内部 Geneva 服务的机密处理配置错误,以及

  • • Geneva的弱身份验证

除了获得未经授权的访问权限之外,攻击者还可以利用 Geneva 服务中的漏洞,篡改日志数据或发送虚假日志,以避免在创建新的 pod 或帐户时引起怀疑。

初始访问技术包括制作有向无环图 ( DAG ) 文件并将其上传到与 Airflow 集群连接的私有 GitHub 存储库,或更改现有的 DAG 文件。最终目标是在导入后立即向外部服务器启动反向 shell。

为了实现这一点,威胁者必须首先利用被盗用的服务主体或文件的共享访问签名 (SAS) 令牌来获得包含 DAG 文件的存储帐户的写入权限。或者,他们可以使用泄露的凭据侵入 Git 存储库。

虽然发现以这种方式获得的 shell 是在具有最小权限的 Kubernetes pod 中以 Airflow 用户上下文运行的,但进一步的分析发现了一个连接到 Airflow 运行器 pod 的具有集群管理员权限的服务帐户。

这种错误配置,再加上该 pod 可以通过互联网访问,意味着攻击者可以下载 Kubernetes 命令行工具 kubectl,并最终通过“部署特权 pod 并突破底层节点”完全控制整个集群。

Azure Airflow 中 Kubernetes RBAC 配置错误可能导致整个集群遭受攻击

然后,攻击者可以利用对主机虚拟机 (VM) 的根访问权限深入云环境,获得对 Azure 管理的内部资源(包括 Geneva)的未经授权的访问,其中一些资源授予对存储帐户和事件中心的写访问权限。

安全研究人员 Ofir Balassiano 和 David Orlovsky 表示:“这意味着经验丰富的攻击者可以修改易受攻击的 Airflow 环境。例如,攻击者可以创建新的 pod 和新的服务帐户。他们还可以将更改应用于集群节点本身,然后将虚假日志发送到 Geneva 而不会发出警报。”

“这个问题凸显了谨慎管理服务权限以防止未经授权的访问的重要性。它还凸显了监控关键第三方服务的操作以防止此类访问的重要性。”

此次披露之际,Datadog 安全实验室详细介绍了Azure Key Vault中的权限提升场景,该场景可以允许具有 Key Vault 贡献者角色的用户读取或修改 Key Vault 内容,例如 API 密钥、密码、身份验证证书和 Azure 存储 SAS 令牌。

问题在于,虽然具有 Key Vault Contributor 角色的用户无法通过配置了访问策略的密钥保管库直接访问 Key Vault 数据,但发现该角色确实具有将自身添加到 Key Vault 访问策略并访问 Key Vault 数据的权限,从而有效地绕过了限制。

安全研究员凯蒂·诺尔斯 (Katie Knowles)表示:“策略更新可能包含列出、查看、更新和一般管理密钥保管库内数据的能力。” “这就产生了这样一种情况:具有密钥保管库贡献者角色的用户可以访问所有密钥保管库数据,尽管他们没有 [基于角色的访问控制] 权限来管理权限或查看数据。”

此后,微软更新了其文档以强调访问策略风险,并指出:“为防止未经授权访问和管理您的密钥保管库、密钥、机密和证书,必须在访问策略权限模型下限制贡献者角色对密钥保管库的访问。”

此次开发还发现,Amazon Bedrock CloudTrail 日志记录存在问题,导致难以区分对大型语言模型 (LLM) 的恶意查询和合法查询,从而允许不良行为者进行侦察而不发出任何警报。

Sysdig 研究员 Alessandro Brucato表示:“具体来说,失败的 Bedrock API 调用以与成功调用相同的方式记录,但不提供任何特定的错误代码。”

“API 响应中缺少错误信息可能会在 CloudTrail 日志中产生误报,从而阻碍检测工作。如果没有这些详细信息,安全工具可能会将正常活动误解为可疑活动,从而导致不必要的警报和对真正威胁的潜在忽视。”

详细分析

https://unit42.paloaltonetworks.com/azure-data-factory-apache-airflow-vulnerabilities/

原文始发于微信公众号(独眼情报):Azure Airflow 中 Kubernetes RBAC 配置错误可能导致整个集群遭受攻击

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月1日21:27:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Azure Airflow 中 Kubernetes RBAC 配置错误可能导致整个集群遭受攻击https://cn-sec.com/archives/3580924.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息