Azure Data Factory 安全漏洞可能危及雲端基礎架構安全

微軟 Azure Data Factory 服務中的 Apache Airflow 整合功能被發現存在三個資安漏洞。這些漏洞可能讓攻擊者取得企業雲端基礎架構的隱藏管理權限，並藉此存取和竊取資料，甚至部署惡意程式。

這三個漏洞存在於微軟Azure雲端資料整合服務中，主要源於該服務與開源工作流程編排平台的整合設計缺陷。攻擊者可能藉此取得企業 Azure 雲端基礎架構的管理控制權，導致資料外洩、惡意程式部署和未經授權的資料存取等風險。

Palo Alto Networks 的資安研究團隊在 Azure Data Factory 的 Apache Airflow 整合功能中發現這些漏洞，其中兩個是設定錯誤的問題，另一個則是身分驗證機制的弱點。Azure Data Factory 主要負責管理不同來源間的資料傳輸管道，而 Apache Airflow 則專門處理複雜工作流程的排程與協調。

儘管微軟將這些漏洞評為低風險等級，但根據 Palo Alto Networks 資安研究團隊在 12 月 17 日發布的研究報告指出，若駭客成功利用這些漏洞，就能取得整個 Airflow Azure Kubernetes Service (AKS) 叢集的持久性影子管理員存取權限。

研究團隊在 Data Factory 中發現三個主要漏洞：Airflow 叢集中的 Kubernetes 角色型存取控制(RBAC)配置錯誤、Azure 內部 Geneva 服務在管理關鍵日誌和指標時的機密處理配置錯誤，以及 Geneva 身分驗證機制的安全強度不足。

Azure 雲端未授權存取漏洞已完成修補

研究人員解釋，Airflow 實例採用無法修改的預設設定，加上叢集管理員角色與 Airflow 執行器之間的連結關係，形成重大資安漏洞。這讓攻擊者有機會「控制 Airflow 叢集和相關基礎架構」。分析指出，一旦駭客入侵叢集，就能操控 Geneva 系統，進而「竄改日誌資料或存取其他敏感的 Azure 資源」。

這些漏洞突顯了在雲端環境中，妥善管理服務權限以及監控關鍵第三方服務運作的重要性，以防止叢集遭到未授權存取。

研究團隊已向微軟 Azure 通報漏洞，並由微軟資安應變中心（Microsoft Security Response Center）完成修補。然而，研究人員並未公開修補細節，微軟也尚未就此事件作出回應。

駭客如何獲取初始管理權限

第一個攻擊情境涉及駭客取得 Apache Airflow 的有向無環圖（DAG）檔案未授權寫入權限。這些 DAG 檔案是以 Python 程式碼撰寫，用來定義工作流程結構、任務執行順序、相依性及排程規則。

駭客可透過兩種方式竄改 DAG 檔案：一是利用具寫入權限的主要帳號直接存取儲存 DAG 檔案的儲存體帳戶；二是使用共用存取簽章（SAS）權杖取得 DAG 檔案的臨時存取權限。

研究人員指出，一旦 DAG 檔案遭竄改，惡意程式會在受害者匯入檔案時才啟動。

另一種攻擊手法則是利用外洩的憑證或設定錯誤來存取 Git 儲存庫。攻擊者可藉此建立或修改 DAG 檔案，而含有惡意程式的目錄會被系統自動匯入。

具體攻擊流程如下：攻擊者先製作一個能建立遠端伺服器反向殼層連線的 DAG 檔案，此檔案會在匯入時自動執行。然後，攻擊者將此惡意檔案上傳至與 Airflow 叢集相連的私人 GitHub 儲存庫。

研究人員說明，Airflow 會自動從連接的 Git 儲存庫匯入並執行 DAG 檔案，進而在工作節點上建立反向殼層。由於工作節點具有 Kubernetes 服務帳號，攻擊者便能取得叢集管理員權限。取得權限後，攻擊者可進一步擴大攻擊範圍：完全控制叢集、利用影子管理員權限部署惡意工作負載（如加密貨幣挖礦）、竊取企業雲端資料，甚至透過 Geneva 系統存取其他 Azure 端點進行更多惡意活動。

雲端安全防護必須跨越單一叢集的界限

雲端攻擊常見於駭客利用本地端的錯誤設定，而此次事件凸顯了單一節點或叢集的弱點如何可能危及整體雲端環境的安全。雲端安全防護不能僅限於保護叢集邊界，而應建立全面的安全架構，並制定完善的入侵應變措施。

研究人員強調，此類防護策略應包括「確保環境內部的權限和組態安全，同時運用政策和稽核引擎來偵測與預防叢集內部及雲端環境中的潛在資安威脅」。企業需要妥善保護與雲端服務互動的敏感資料，並確實掌握各項服務所處理的資料內容，以便在規劃雲端安全防護時，完整考量服務間的相依關係。

本文轉載自 DarkReading。