Plataforma
python
Componente
apache-airflow
Corrigido em
2.1.3
2.1.3
A vulnerabilidade CVE-2021-38540 afeta o Apache Airflow nas versões entre 2.0.0 e 2.1.3rc1. Devido à falta de autenticação na API de importação de variáveis, atacantes não autenticados podem manipular variáveis do Airflow utilizadas em DAGs. Essa manipulação pode resultar em negação de serviço, divulgação de informações sensíveis ou, mais gravemente, execução remota de código.
A ausência de autenticação na API de importação de variáveis do Apache Airflow abre uma brecha significativa para a exploração. Um atacante pode injetar variáveis maliciosas que, ao serem utilizadas em DAGs, podem executar comandos arbitrários no sistema onde o Airflow está rodando. Isso pode levar ao comprometimento completo do ambiente, permitindo o acesso a dados confidenciais, a instalação de malware ou a utilização do sistema para fins maliciosos. A capacidade de modificar variáveis do Airflow sem autenticação representa um risco de segurança crítico, especialmente em ambientes onde o Airflow é utilizado para orquestrar tarefas sensíveis.
A vulnerabilidade foi divulgada publicamente em 24 de maio de 2022. Não há evidências de exploração ativa em campanhas direcionadas, mas a facilidade de exploração e o alto impacto potencial tornam a vulnerabilidade um alvo atraente. A vulnerabilidade foi adicionada ao Catálogo de Vulnerabilidades Conhecidas (KEV) da CISA, indicando um risco significativo para agências governamentais e infraestruturas críticas. A existência de um CVSS score de 9.8 (CRITICAL) reforça a urgência em mitigar esta vulnerabilidade.
Organizations heavily reliant on Apache Airflow for orchestrating complex workflows are at significant risk. Specifically, deployments with publicly accessible Airflow instances or those lacking robust network segmentation are particularly vulnerable. Airflow installations using older versions (prior to 2.1.3) and those with limited security monitoring are also at heightened risk.
• python / airflow:
import requests
import json
url = "http://<airflow_host>/api/v1/variables/import"
headers = {'Content-Type': 'application/json'}
data = {'key': 'test_variable', 'value': 'malicious_code'}
try:
response = requests.post(url, headers=headers, data=json.dumps(data))
print(f"Response Status Code: {response.status_code}")
print(f"Response Content: {response.content}")
except requests.exceptions.RequestException as e:
print(f"Error: {e}")• linux / server: Monitor Airflow logs for unusual variable import activity or errors related to variable manipulation. Use journalctl -u airflow to filter for relevant log entries.
• generic web: Check Airflow server access logs for requests to /api/v1/variables/import originating from unexpected IP addresses or user agents.
disclosure
patch
Status do Exploit
EPSS
91.78% (percentil 100%)
Vetor CVSS
A mitigação primária para CVE-2021-38540 é a atualização para a versão 2.1.3 ou superior do Apache Airflow. Em ambientes onde a atualização imediata não é possível, considere restringir o acesso à API de importação de variáveis através de regras de firewall ou proxies reverso. Implementar autenticação robusta para todos os usuários que precisam acessar a API também pode ajudar a mitigar o risco. Monitore logs do Airflow em busca de atividades suspeitas, como tentativas de acesso não autorizado à API de importação de variáveis.
Atualize o Apache Airflow para a versão 2.1.3 ou superior. Isso corrige a falta de autenticação no endpoint de importação de variáveis, prevenindo o acesso não autorizado e possíveis ataques. A atualização pode ser realizada através de pip ou o método de instalação preferido.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2021-38540 is a critical vulnerability in Apache Airflow versions 2.0.0 to 2.1.3 where unauthenticated users can modify Airflow variables, potentially leading to remote code execution.
You are affected if you are running Apache Airflow versions 2.0.0 through 2.1.3. Upgrade to 2.1.3 or later to resolve the issue.
The recommended fix is to upgrade Apache Airflow to version 2.1.3 or later. As a temporary workaround, restrict network access to the variable import endpoint.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a high-priority target.
You can find the official advisory on the Apache Airflow website: https://airflow.apache.org/2021/05/24/security-vulnerability-in-apache-airflow.html
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.