开源云原生平台 Apache Kafka暴露多家大企业的敏感数据
编译:代码卫士
由于 Kafdrop 实例配置不当,全球某些规模最大的企业在云上的敏感信息遭暴露。
Kafdrop 是 Apache Kafka 的管理接口。Apache Kafka是一款开源的云原生平台,用于收集、分析、存储和管理数据流。Kafka 拥有多个常见用例;例如,在金融行业,它常被用于实时数据处理,以便追踪并拦截虚假交易。在物联网世界,它可用于支持智能电网应用等“及时”资源分配。Kafka 的另外一些用例包括追踪应用活动(用户点击、注册、花在某些页面或功能、订单等上面的时间);以及事件日志或实时监控。
Kafka 专为大企业而定制,已用于全球60%的财富100强公司,如 Box、思科、高盛、intuit、塔吉特等,以及10家全球最大银行中的8家;10家全球最大的保险公司以及19家全球重点电信提供商中的8家等。
因此,该平台易受攻击或被暴露的管理工具成为“完美的攻击目标,可使攻击者渗透并提取数据并接管集群管理。”
01Kafdrop:中心枢纽和目标
其中,Kafdrop 就是这样一个“完美目标”。它是一款流行的开源用户接口,可作为 Docker 容器部署。
Kafdrop 自动连接并映射现有的 Kafka 集群,使用户能够管理主题创建和删除,以及“理解集群的拓扑和布局、渗透到主机、主题、分区和客户。同时,它还可使用户以合法客户身份从所有主题和分区的身份从所有主题和分区对实时数据及逆行下载。
遗憾的是,研究人员还发现了多个配置不当的 Kafdrop 接口将全部 Kafka 集群暴露到公开互联网。研究人员分析指出,“这些集群暴露了客户数据、交易、医疗记录和内部系统流量,导致全部神经系统被公开。我们发现了多个行业中很多企业的集群,包括实例、医疗、物联网、媒体和社交网络。“
研究人员指出,“被暴露的还有实时流量,从而泄露机密、验证令牌和其它访问详情,导致黑客能够渗透企业在 AWS、IBM、Oracle 等上的云活动。
研究人员提醒称,机密信息泄露对受影响企业的影响可能使巨大的,可能会造成多起攻击,包括:
敏感信息攻陷/数据盗取
删除 Kafka 话题和数据来源,损坏内部系统并可能导致拒绝服务
暴露日志和交易数据,如敏感流量记录、金融交易以及敏感app payload 的内部数据库记录
通过在 Kafka 中注入特殊构造的系统对企业云/网络的其它部门进行访问;Kafka 可连接至外部系统,导入/导出数据
不合规
研究人员指出,“由于 Kafka 是重要数据的数据中心和中央处理系统,被暴露的集群会给组织机构造成风险。通过理解集群的拓扑,黑客能够有效地连接并模拟合法客户,随意注入或拉取数据。”
在一个被暴露集群中,研究人员观测到“全球最大的新闻机构之一”的实时流量,包括服务令牌、机密、cookie 等。在另外一个案例中,研究人员可以看到邮件流量,包括报文、令牌和私密 cookie 被当作邮件URL 中的参数。
其中一个最大的医疗组织机构拥有“处理请求、加工和交易库存以及客户处方交易的拓扑”,而另外一个被暴露的集群持有保险理赔、交易和代理与客户之间互动。
研究人员指出,已通知相关受影响企业。
02防御云配置不当
云配置不当的情况越来越常见,公有云存储桶的数据泄露问题似乎层出不穷。但 Spectral 公司开展的研究表明,还存在其它常见的云配置不当问题。
为避免企业机密遭泄露,应当在 app 服务器后重新部署 Kafdrop,并且以活跃且配置的验证模式重新部署。
研究人员指出,“在仅有一个连接访问点的基础上,目前可以在 Nginx 中添加一个验证模块并将其作为验证层。”另外,研究人员在研究结果中将验证代码贡献到了Kafdrop开源代码库中。
其它修复和缓解措施包括加密 Kafka 中的闲置数据、将应用程序配置为当从 Kafka 读取或写入数据时总是加密;以及使用高阶的配置不当扫描器帮助检测遭破坏的验证、输入清理问题和加密错误。
开源组件 Ehcache中被曝严重漏洞,影响多款Jira产品
美国“加强软件供应链安全实践的指南” (SSDF V1.1草案) 解读来了
速修复!开源编辑器CKEditor 中存在两个严重XSS漏洞,影响Drupal 和其它下游应用Apache 紧急修复已遭利用且补丁不完整的 HTTP Server 0day
https://threatpost.com/apache-kafka-cloud-clusters-expose-data/176778/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。