项目介绍
Airflow 是一个使用 python 语言编写的 data pipeline 调度和监控工作流的平台。 Airflow 是通过 DAG(Directed acyclic graph 有向无环图)来管理任务流程的任务调度工具, 不需要知道业务数据的具体内容,设置任务的依赖关系即可实现任务调度。
项目地址
https://github.com/apache/airflow
漏洞概述
Apache Airflow的默认DAG example_bash_operator 参数使用不当,具备后台权限的攻击者可以通过run_id注入恶意命令从而造成rce。
影响版本
Apache Airflow < 2.4.0
漏洞复现
构造特殊run_id,反弹shell成功
漏洞分析
根据官方发布的修复补丁可知,修复前是直接获取了run_id 值并拼接到了bash_command中。
run_id是什么呢?原来每个DAG 实例都有一个上下文的概念,以context参数的形式会透传给所有的任务,以及所有任务的回调函数。run_id也在context中,其含义是DAG运行实例id
在触发dag执行的时候,可以指定run_id的值
因此只要具备触发DAG执行的权限就可以注入恶意命令。
注入恶意命令后,如何执行呢?参考官方文档可知,BashOperator作用是在shell中执行命令,airflow使用 Jinja templates为dag传递变量并且不会对传入数据进行转义处理
因此,在2.4.0之前版本,当example_bash_operator存在时,具备执行权限的攻击者可以通过run_id注入恶意代码从而执行系统命令。
修复方式
官方已发布安全版本 2.4.0,建议升级至安全版本或以上。
参考连接
airflow—给DAG实例传递参数(4) - 腾讯云开发者社区-腾讯云
Change the template to use human readable task_instance description by potiuk · Pull Request #25960 · apache/airflow · GitHub
https://airflow.apache.org/docs/apache-airflow/stable/howto/operator/bash.html#bashoperator