Selon les chercheurs de la compagnie de sécurité Spectral, certaines des plus grandes entreprises du monde ont exposé des quantités d'informations sensibles à partir du cloud, dues à des instances Kafdrop mal configurées.

Kafdrop est une interface de gestion pour Apache Kafka, qui est une plateforme open-source, native du cloud, pour la collecte, l'analyse, le stockage et la gestion des flux de données. Kafka a plusieurs cas d'utilisation courants. Kafka est conçu pour les grandes entreprises et est utilisé par 60 % des entreprises du classement Fortune 100, dont Box, Cisco, Goldman Sachs, Intuit, Target et d'autres, ainsi que huit des dix plus grandes banques du monde, les dix plus grandes compagnies d'assurance mondiales et huit des dix principaux fournisseurs de télécommunications mondiaux, parmi des milliers d'autres. Par conséquent, la présence d'un outil de gestion vulnérable ou exposé sur la plateforme constitue une cible parfaite pour les attaquants qui peuvent s'infiltrer, exfiltrer des données et prendre le contrôle de la gestion des clusters.

Malheureusement, les chercheurs de Spectral ont également découvert de multiples cas d'interfaces Kafdrop mal configurées exposant des clusters Kafka complets à l'internet public. Ils ont déclaré que ces clusters exposent les données des clients, les transactions, les dossiers médicaux et le trafic du système interne en offrant une vue intérieure sur le système global d'utilisateur, et selon l'analyse de la firme, publiée lundi, ils ont trouvé des clusters exposés provenant d'entreprises d'une multitude de secteurs, notamment l'assurance, la santé, l'IoT, les médias et les réseaux sociaux. Les chercheurs ajoutent que le trafic en temps réel était également exposé, révélant des secrets, des jetons d'authentification et d'autres détails d'accès qui permettent aux pirates d'infiltrer les activités de cloud des entreprises sur AWS, IBM, Oracle et autres.

La firme de sécurité a averti que l'impact sur les entreprises touchées pourrait être significatif, avec plusieurs résultats possibles de ces attaques, notamment :

• La compromission d'informations sensibles/le vol de données.

• Suppression des sujets et des sources de données Kafka, entraînant des ravages dans les systèmes internes et un déni de service (DoS) potentiel.

• Exposition des journaux et des données transactionnelles, qu'il s'agisse d'enregistrements de trafic sensibles, de transactions financières, d'enregistrements de bases de données internes ou de charges utiles d'applications sensibles.

• Accès supplémentaire à d'autres parties du cloud/réseau de l'entreprise en injectant des messages spécialement conçus dans Kafka ; Kafka peut se connecter à des systèmes externes pour importer/exporter des données.

• Non-conformité réglementaire

Les chercheurs ont indiqué que Les entreprises touchées ont été notifiées.

Les erreurs de configuration du cloud sont de plus en plus courantes. Selon les chercheurs pour éviter d'exposer les données de l'entreprise, Kafdrop devrait être redéployé derrière un serveur d'applications, avec un module d'authentification actif et configuré, notent les chercheurs.

Parmi les autres stratégies de remédiation et d'atténuation, Les chercheurs ont cités le chiffrement des données au repos dans Kafka et la configuration des applications pour qu'elles chiffrent toujours lorsqu'elles lisent ou écrivent des données vers et depuis Kafka, ainsi que l'utilisation de scanners de mauvaise configuration avancés pour aider à détecter les problèmes d'authentification, d'assainissement des entrées et de chiffrement.