شرکت‌های بزرگ، کلاسترهای کافکا را بدون محافظت رها کرده بودند

تعدادی از بزرگ‌ترین شرکت‌های جهان، سهواً اطلاعات حساسی را دسترس عموم قرار داده‌اند. علت این رخداد پیکربندی نامناسب Kafdrop بوده است.

 تعدادی از بزرگ‌ترین شرکت‌های جهان، سهواً اطلاعات حساسی را دسترس عموم قرار داده‌اند. علت این رخداد پیکربندی نامناسب Kafdrop بوده

تعدادی از بزرگ‌ترین شرکت‌های جهان، سهواً اطلاعات حساسی را دسترس عموم قرار داده‌اند. علت این رخداد پیکربندی نامناسب Kafdrop بوده است.

نرم‌افزار کافکا محصولی از آپاچی است که برای ذخیره‌سازی و مدیریت جریان‌های حجیم دیتا استفاده می‌شود. به عنوان مثال، در بخش تجاری، این محصول با پردازش بلادرنگ داده‌ها، به تشخیص و مسدودسازی تراکنش‌های مخرب کمک می‌کند. از جمله کاربردهای دیگر آن می‌توان به رهگیری فعالیت‌های کاربر (کلیک‌ها، زمان صرف شده در یک صفحه وب و…) و رصد بلادرنگ رویدادها اشاره کرد. کافکا به صورت کلاستری (خوشه‌ای) از یک یا چند سرور اجرا می‌شود.

Kafdrop، یک رابط مدیریتی برای کافکا است. محققان شرکت اسپکترال (Spectral) کشف کرده‌اند که چند نمونه Kafdrop متعلق به شرکت‌های بزرگ جهان، با پیکربندی نادرست، روی اینترنت و در معرض دسترسی عموم قرار دارند. این امر باعث به خطر افتادن کلاسترهای کافکای این شرکت‌ها می‌شود.

کافکا برای سازمان‌های بزرگ طراحی شده است و در 60 درصد از کمپانی‌های مجموعه Fortune 100 به کار می‌رود. شرکت‌هایی مثل باکس و سیسکو، به علاوه هشت مورد از 10 بانک بزرگ جهان و هشت مورد از ده شرکت مخابراتی مهم جهان از کاربران این محصول هستند. در نتیجه یک ابزار مدیریتی آسیب‌پذیر یا دارای پیکربندی بد مربوط به کافکا، هدف بسیار جذابی برای مهاجمان خواهد بود. آنها با کمک چنین ابزاری می‌توانند داده‌ها را سرقت کنند، داده‌های خود را جاسازی کنند یا مدیریت کلاستر را به دست بگیرند.

 

Kafdrop: یک هاب مرکزی

یکی از این اهداف جذاب، Kafdrop است. این ابزار به طور خودکار به کلاسترهای کافکا وصل می‌شود، به کاربران اجازه مدیریت، ایجاد و حذف تاپیک‌ها (نوعی دسته‌بندی اطلاعات) را می‌دهد و همچنین امکان فهمیدن توپولوژی کلاستر، نفوذ به هاست‌ها، تاپیک‌ها و مصرف‌کنندگان را فراهم می‌کند. همچنین با استفاده از آن می‌توان مثل یک کاربر مجاز، داده‌های زنده را نمونه‌برداری و دانلود کرد.

محققان اسپکترال میگویند: این کلاسترها تراکنش‌ها، پرونده‌های درمانی، داده‌های مشتری و ترافیک داخلی سیستم را افشا می‌کنند. ما کلاسترهای رها شده‌ای پیدا کردیم که به صنایع مختلف مثل بیمه، سلامت، اینترنت اشیاء، رسانه‌ها و شبکه‌های اجتماعی تعلق داشتند. همچنین ترافیک‌های زنده‌ای را یافتیم که رازها (secrets)، توکن‌های احراز هویت و سایر اطلاعات دسترسی را افشا می‌کردند. هکرها با استفاده از چنین اطلاعاتی می‌توانند به فعالیت‌های شرکت‌ها روی AWS، IBM، اوراکل و… نفوذ کنند.

از آنجا که سرور کافکا به عنوان یک هاب داده‌ای و سیستم پردازش مرکزی عمل می‌کند، رها شدن کلاسترها، شرکت را از هر نظر به خطر می‌اندازد. با فهمیدن توپولوژی یک کلاستر، هکر می‌تواند به راحتی متصل شده و خود را به عنوان یک مشتری مجاز جا بزند و به طور دلخواه داده‌ها را استخراج کند یا داده خود را تزریق کند.

پژوهشگران اسپکترال، در یکی از کلاسترهای رها شده، ترافیک زنده یکی از بزرگ‌ترین خبرگزاری‌های جهان را مشاهده کردند. این ترافیک حاوی توکن سرویس‌ها، رازها، کوکی‌ها و… بوده است. در یک مورد دیگر، آنها توانستند ترافیک ایمیل را ببینند که شامل محتوای پیام، توکن‌ها و کوکی‌های خصوصی بوده است که به عنوان پارامتر در URL ایمیل قرار داشته‌اند.

 

پیشگیری از پیکربندی ابری نامناسب

به منظور حفاظت از دارایی‌های سازمانی، باید Kafdrop پشت یک سرور اپلیکیشن استقرار پیدا کند و دارای یک ماژول احراز هویت فعال و پیکربندی شده باشد. اکنون تنها با داشتن یک نقطه دسترسی می‌توانید یک ماژول احراز هویت را (به طور مثال) به Nginx اضافه کرده و به عنوان یک لایه احراز هویت استفاده کنید.

علاوه بر آن، می‌توان داده‌های ساکن را رمزگذاری نمود و اپلیکیشن‌ها را طوری تنظیم کرد که موقع خواندن از/نوشتن در کافکا از رمزگذاری استفاده کنند. همچنین با کمک اسکنرهای پیشرفته می‌توان احراز هویت نامناسب، مشکلات پاک‌سازی ورودی (input sanitization) و خطاهای رمزگذاری را کشف کرد.

 

منبع: threat post

 

کلمات کلیدی