Apache Airflow Security

Basic Information

inatumika kama jukwaa la kuandaa na kupanga mipango ya data au kazi. Neno "kuandaa" katika muktadha wa mipango ya data linaashiria mchakato wa kupanga, kuratibu, na kusimamia kazi ngumu za data zinazotokana na vyanzo mbalimbali. Lengo kuu la mipango hii ya data iliyopangwa ni kutoa seti za data zilizoshughulikiwa na zinazoweza kutumika. Seti hizi za data zinatumika sana na maombi mengi, ikiwa ni pamoja na lakini sio tu zana za akili ya biashara, sayansi ya data na mifano ya kujifunza mashine, ambazo zote ni msingi wa utendaji wa maombi makubwa ya data.

Kwa msingi, Apache Airflow itakuruhusu kupanga utekelezaji wa msimbo wakati kitu (tukio, cron) kinatokea.

Local Lab

Docker-Compose

Unaweza kutumia faili ya usanidi ya docker-compose kutoka kuanzisha mazingira kamili ya docker ya apache airflow. (Ikiwa uko kwenye MacOS hakikisha unatoa angalau 6GB ya RAM kwa VM ya docker).

Minikube

Njia moja rahisi ya kufanya kazi na apache airflow ni kuikimbia na minikube:

Airflow Configuration

Airflow inaweza kuhifadhi taarifa nyeti katika usanidi wake au unaweza kupata usanidi dhaifu ulio katika nafasi:

Airflow RBAC

Kabla ya kuanza kushambulia Airflow unapaswa kuelewa jinsi ruhusa zinavyofanya kazi:

Attacks

Web Console Enumeration

Ikiwa una ufikiaji wa console ya wavuti unaweza kuwa na uwezo wa kufikia baadhi au zote za taarifa zifuatazo:

• Variables (Taarifa nyeti za kawaida zinaweza kuhifadhiwa hapa)

• Connections (Taarifa nyeti za kawaida zinaweza kuhifadhiwa hapa)

• Fikia hizo katika http://<airflow>/connection/list/

• Orodha ya watumiaji & majukumu

• Code ya kila DAG (ambayo inaweza kuwa na taarifa za kuvutia)

Retrieve Variables Values

Hata hivyo, hizi thamani bado zinaweza kupatikana kupitia CLI (unahitaji kuwa na ufikiaji wa DB), kutekeleza DAG isiyo na mpangilio, API inayofikia mwisho wa variables (API inahitaji kuwezeshwa), na hata GUI yenyewe! Ili kufikia hizo thamani kutoka kwa GUI chagua tu variables unazotaka kufikia na bonyeza kwenye Actions -> Export. Njia nyingine ni kufanya bruteforce kwa thamani iliyofichwa kwa kutumia uchujaji wa utafutaji hadi upate hiyo:

Privilege Escalation

Ikiwa usanidi wa expose_config umewekwa kuwa True, kutoka kwa role User na juu wanaweza kusoma config katika wavuti. Katika usanidi huu, secret_key inaonekana, ambayo inamaanisha mtumiaji yeyote mwenye hii halali wanaweza kuunda cookie yao iliyosainiwa ili kujifanya kuwa akaunti nyingine yoyote ya mtumiaji.

DAG Backdoor (RCE katika Airflow worker)

Ikiwa una ufikiaji wa kuandika mahali ambapo DAGs zimehifadhiwa, unaweza tu kuunda moja ambayo itakutumia reverse shell. Kumbuka kwamba reverse shell hii itatekelezwa ndani ya airflow worker container:

DAG Backdoor (RCE katika Airflow scheduler)

Ikiwa utaweka kitu kifanyike katika mzizi wa msimbo, wakati wa kuandika hii, kitafanywa na scheduler baada ya sekunde chache baada ya kukiweka ndani ya folda ya DAG.

DAG Creation

Ikiwa utafanikiwa kushambulia mashine ndani ya klasta ya DAG, unaweza kuunda scripts za DAG katika folda ya dags/ na zitakuwa zinakopiwa katika mashine nyingine ndani ya klasta ya DAG.

DAG Code Injection

Kila unachohitaji kujua ili kuanza kutafuta command injections katika DAGs ni kwamba parameta zinapatikana kwa kutumia dag_run.conf.get("param_name").

Zaidi ya hayo, udhaifu sawa unaweza kutokea na mabadiliko (zingatia kwamba kwa ruhusa ya kutosha unaweza kudhibiti thamani ya mabadiliko katika GUI). Mabadiliko yanapatikana kwa:

Ikiwa zinatumika kwa mfano ndani ya amri ya bash, unaweza kufanya uingiliaji wa amri.