잘못 설정된 Apache Airflow 인스턴스, 인기 서비스의 크리덴셜 유출시켜

 

 

Poorly Configured Apache Airflow Instances Leak Credentials for Popular Services

 

지난 월요일, 사이버 보안 연구원들이 다양한 분야의 유명 회사에서 사용하는 Apache Airflow 인스턴스의 이전 버전에서 발견된 잘못된 구성으로 인해 Amazon Web Services(AWS), Binance, Google Cloud Platform(GCP), PayPal, Slack, Stripe를 포함한 인기 있는 플랫폼 및 서비스에 대한 민감한 크리덴셜이 노출되었음을 발견했습니다.

 

Intezer는 The Hacker News와 공유한 보고서를 통해 "이러한 보호되지 않은 인스턴스는 미디어, 금융, 제조, 정보 기술(IT), 생명 공학, 전자 상거래, 건강, 에너지, 사이버 보안, 운송 산업 전반에 걸쳐 기업의 민감 정보를 노출한다"고 밝혔습니다.

 

2015년 6월 처음 출시된 Apache Airflow는 오픈소스 워크플로우 관리 플랫폼으로 AWS, GCP, Microsoft Azure 및 다른 타사 서비스의 워크플로우를 프로그래밍 방식으로 예약 및 모니터링할 수 있습니다. 이는 가장 인기있는 작업 오케스트레이션 툴 중 하나이며 Luigi, Kubeflow, MLflow가 그 뒤를 잇습니다.

 

 

<이미지 출처 : https://www.intezer.com/blog/cloud-security/misconfigured-airflows-leak-credentials/>

 

 

Intezer는 가장 흔히 발견되는 안전하지 않은 코딩 사례로 Python DAG 코드 또는 변수에 하드코딩된 데이터베이스 비밀번호 사용, "추가" 연결 필드에 일반 텍스트 크리덴셜, 구성 파일(airflow.cfg)에 일반 텍스트 키 사용을 꼽았습니다.

 

잘못 구성된 Airflow 인스턴스와 관련된 주된 우려 사항 중 하나는 공격자가 계정 및 데이터베이스에 대한 액세스 권한을 얻기 위해 악용할 수 있는 크리덴셜이 노출되어 데이터 유출으로 이어질 뿐 아니라 측면 확산, 데이터 유출이 발생할 수 있다는 것입니다. 또한 이는 데이터 보호법 위반으로 이어지고 조직의 툴 및 패키지를 파악해 추후 공급망 공격을 실행하는데 악용될 수 있습니다.

 

Intezer 연구원은 관련해 아래와 같이 밝혔습니다.

 

"많은 비밀번호를 볼 수 있을 경우, 공격자는 이 데이터를 사용하여 패턴 및 흔히 사용되는 단어를 탐지해 내 다른 비밀번호를 유추할 수 있습니다. 이는 다른 플랫폼에 대한 사전 공격 또는 브루트포싱 공격에 이용될 수 있습니다."

 

더욱 우려되는 점은 변수 기능을 활용하여 승인되지 않은 코드가 포함된 다른 이미지를 가리키도록 컨테이너 이미지 변수를 수정해 노출된 프로덕션 환경에서 악성코드를 실행시킬 수 있다는 것입니다.

 

Apache Airflow는 2020년 12월에 공개된 버전 2.0.0에서 보안 문제 다수를 해결했기 때문에, 사용자는 최신 버전으로 소프트웨어를 업데이트하고 비밀번호가 노출되는 것을 방지하기 위해 보안 코딩 방식을 채택하는 것이 중요합니다.

 

 

 

 

출처:

https://thehackernews.com/2021/10/poorly-configured-apache-airflow.html

https://www.intezer.com/blog/cloud-security/misconfigured-airflows-leak-credentials/