旧的ApacheAirflow安装泄露了数千个用户凭据
据研究人员称,发现旧版本的ApacheAirflow暴露了流行服务的凭据,包括云托管提供商、社交媒体平台和支付处理服务。ApacheAirflow是GitHub上星级最高的开源工作流应用程序,用于自动化业务和IT任务。
Intezer的网络安全研究人员发现,旧版本中的错误配置不仅会泄露数据,而且可能会在暴露的生产环境中启用恶意代码执行。
我们正在研究我们的读者如何将VPN与Netflix等流媒体网站结合使用,以便我们改进内容并提供更好的建议。此调查不会占用您超过60秒的时间,如果您能与我们分享您的经验,我们将不胜感激。
“这次泄漏非常严重。与影响个人用户帐户的更传统的凭据泄漏不同,这些凭据泄漏会影响整个应用程序框架实例,”事件响应公司BreachQuestInc.的联合创始人兼首席技术官JakeWilliams告诉SiliconANGLE。
研究人员在解释曝光时指出,Airflow使用标准Python来创建和安排工作流程。自2015年以来,该项目已经发布了两个主要版本,但随后又有几个临时版本提高了平台的安全性。
为了说明旧版本的谬误,研究人员指出v1.10之前的Airflow版本允许用户在没有任何身份验证的情况下对数据库运行即席查询,这对于暴露于互联网的生产数据库来说是一种危险的能力.
通过关注较旧的、不安全的版本,研究人员发现配置错误的实例也会暴露凭据,使威胁行为者可以访问AWS、GoogleCloud、WhatsApp、Slack、MySQL、Binance、PayPal、Stripe和其他平台上的合法帐户和数据库。多很多。
在一个奇怪的发现中,研究人员透露,除了错误配置之外,许多凭据还通过不安全的编码实践暴露出来,例如生产代码中的硬编码密码。
Intezer已通知所有受影响的实体,敦促他们修复错误配置的Airflow实例,即使它要求ApacheAirflow用户确保他们立即将旧实例更新到最新实例。
标签: