配置不当的Apache实例会泄漏流行服务的凭据

网络安全研究人员周一发现，各行业多家知名公司的Apache Airflow实例的旧版本存在错误配置，导致亚马逊网络服务（AWS）、Binance、谷歌云平台（GCP）等热门平台和服务的敏感凭据曝光，贝宝、Slack和Stripe

“这些不安全的实例暴露了媒体、金融、制造业、信息技术（IT）、生物技术、电子商务、健康、能源、网络安全和运输行业公司的敏感信息，”Intezer在与《黑客新闻》分享的一份报告中说

Apache Airflow最初于2015年6月推出，是一个开源工作流管理平台，支持对AWS、GCP、Microsoft Azure和其他第三方服务上的工作流进行编程调度和监控。它也是最流行的任务编排工具之一，紧随其后的是Luigi、Kubeflow和MLflow

值得强调的是，Intezer的调查结果暴露了个人和组织管理的Apache Airflow，导致与不同应用程序和服务相关的凭据泄漏，并不表明平台本身存在缺陷

Intezer发现的一些最常见的不安全编码实践包括在Python代码中使用硬编码数据库密码来编排工作流，以及在名为变量的功能中，在连接的“额外”字段中使用明文凭据，以及可公开访问的配置文件（airflow.cfg）中的明文键

与错误配置的气流实例相关的主要问题是凭据泄漏，这使它们成为威胁行为体利用的理想对象，威胁行为体可以滥用信息进行横向传播，并访问帐户和数据库，从而导致违反数据保护法，并使攻击者能够洞察组织的工具和软件包，这些工具和软件包随后可能被用来发动供应链攻击

“如果大量密码可见，威胁行为人还可以利用这些数据来检测模式和常用词，从而推断出其他密码，”Intezer研究人员说。“这些可以在字典或蛮力式攻击其他平台时使用。”

更令人担忧的是，恶意软件可能会通过利用变量功能修改容器图像变量，指向另一个包含未经授权代码的图像，从而在暴露的生产环境中启动

Apache Airflow在2020年12月发布的2.0.0版本中解决了许多安全问题，这使得该软件的用户必须更新到最新版本，并采取安全编码措施以防止密码泄露