شرکتهای بزرگ، کلاسترهای کافکا را بدون محافظت رها کرده بودند
تعدادی از بزرگترین شرکتهای جهان، سهواً اطلاعات حساسی را دسترس عموم قرار دادهاند. علت این رخداد پیکربندی نامناسب Kafdrop بوده است.
|
تعدادی از بزرگترین شرکتهای جهان، سهواً اطلاعات حساسی را دسترس عموم قرار دادهاند. علت این رخداد پیکربندی نامناسب Kafdrop بوده است. |
|
نرمافزار کافکا محصولی از آپاچی است که برای ذخیرهسازی و مدیریت جریانهای حجیم دیتا استفاده میشود. به عنوان مثال، در بخش تجاری، این محصول با پردازش بلادرنگ دادهها، به تشخیص و مسدودسازی تراکنشهای مخرب کمک میکند. از جمله کاربردهای دیگر آن میتوان به رهگیری فعالیتهای کاربر (کلیکها، زمان صرف شده در یک صفحه وب و…) و رصد بلادرنگ رویدادها اشاره کرد. کافکا به صورت کلاستری (خوشهای) از یک یا چند سرور اجرا میشود. Kafdrop، یک رابط مدیریتی برای کافکا است. محققان شرکت اسپکترال (Spectral) کشف کردهاند که چند نمونه Kafdrop متعلق به شرکتهای بزرگ جهان، با پیکربندی نادرست، روی اینترنت و در معرض دسترسی عموم قرار دارند. این امر باعث به خطر افتادن کلاسترهای کافکای این شرکتها میشود. کافکا برای سازمانهای بزرگ طراحی شده است و در 60 درصد از کمپانیهای مجموعه Fortune 100 به کار میرود. شرکتهایی مثل باکس و سیسکو، به علاوه هشت مورد از 10 بانک بزرگ جهان و هشت مورد از ده شرکت مخابراتی مهم جهان از کاربران این محصول هستند. در نتیجه یک ابزار مدیریتی آسیبپذیر یا دارای پیکربندی بد مربوط به کافکا، هدف بسیار جذابی برای مهاجمان خواهد بود. آنها با کمک چنین ابزاری میتوانند دادهها را سرقت کنند، دادههای خود را جاسازی کنند یا مدیریت کلاستر را به دست بگیرند. |
Kafdrop: یک هاب مرکزی |
|
یکی از این اهداف جذاب، Kafdrop است. این ابزار به طور خودکار به کلاسترهای کافکا وصل میشود، به کاربران اجازه مدیریت، ایجاد و حذف تاپیکها (نوعی دستهبندی اطلاعات) را میدهد و همچنین امکان فهمیدن توپولوژی کلاستر، نفوذ به هاستها، تاپیکها و مصرفکنندگان را فراهم میکند. همچنین با استفاده از آن میتوان مثل یک کاربر مجاز، دادههای زنده را نمونهبرداری و دانلود کرد. محققان اسپکترال میگویند: این کلاسترها تراکنشها، پروندههای درمانی، دادههای مشتری و ترافیک داخلی سیستم را افشا میکنند. ما کلاسترهای رها شدهای پیدا کردیم که به صنایع مختلف مثل بیمه، سلامت، اینترنت اشیاء، رسانهها و شبکههای اجتماعی تعلق داشتند. همچنین ترافیکهای زندهای را یافتیم که رازها (secrets)، توکنهای احراز هویت و سایر اطلاعات دسترسی را افشا میکردند. هکرها با استفاده از چنین اطلاعاتی میتوانند به فعالیتهای شرکتها روی AWS، IBM، اوراکل و… نفوذ کنند. از آنجا که سرور کافکا به عنوان یک هاب دادهای و سیستم پردازش مرکزی عمل میکند، رها شدن کلاسترها، شرکت را از هر نظر به خطر میاندازد. با فهمیدن توپولوژی یک کلاستر، هکر میتواند به راحتی متصل شده و خود را به عنوان یک مشتری مجاز جا بزند و به طور دلخواه دادهها را استخراج کند یا داده خود را تزریق کند. پژوهشگران اسپکترال، در یکی از کلاسترهای رها شده، ترافیک زنده یکی از بزرگترین خبرگزاریهای جهان را مشاهده کردند. این ترافیک حاوی توکن سرویسها، رازها، کوکیها و… بوده است. در یک مورد دیگر، آنها توانستند ترافیک ایمیل را ببینند که شامل محتوای پیام، توکنها و کوکیهای خصوصی بوده است که به عنوان پارامتر در URL ایمیل قرار داشتهاند. |
پیشگیری از پیکربندی ابری نامناسب |
|
به منظور حفاظت از داراییهای سازمانی، باید Kafdrop پشت یک سرور اپلیکیشن استقرار پیدا کند و دارای یک ماژول احراز هویت فعال و پیکربندی شده باشد. اکنون تنها با داشتن یک نقطه دسترسی میتوانید یک ماژول احراز هویت را (به طور مثال) به Nginx اضافه کرده و به عنوان یک لایه احراز هویت استفاده کنید. علاوه بر آن، میتوان دادههای ساکن را رمزگذاری نمود و اپلیکیشنها را طوری تنظیم کرد که موقع خواندن از/نوشتن در کافکا از رمزگذاری استفاده کنند. همچنین با کمک اسکنرهای پیشرفته میتوان احراز هویت نامناسب، مشکلات پاکسازی ورودی (input sanitization) و خطاهای رمزگذاری را کشف کرد. |