Исследователи кибербезопасности предупреждают о общедоступных секретах конфигурации Kubernetes, которые могут подвергнуть организации риску атак по цепочке поставок.
“Эти закодированные секреты конфигурации Kubernetes были загружены в общедоступные репозитории”, – заявили исследователи Aqua security Якир Кадкода и Ассаф Мораг в новом исследовании, опубликованном ранее на этой неделе.
Некоторые из затронутых компаний включают две ведущие блокчейн-компании и различные другие компании из списка fortune 500, согласно фирме по облачной безопасности, которая использовала API GitHub для извлечения всех записей, содержащих типы .dockerconfigjson и .dockercfg, которые хранят учетные данные для доступа к реестру изображений контейнеров.
Из 438 записей, которые потенциально содержали действительные учетные данные для реестров, 203 записи – около 46% – содержали действительные учетные данные, которые обеспечивали доступ к соответствующим реестрам. Девяносто три пароля были установлены частными лицами вручную, в отличие от 345, сгенерированных компьютером.
“В большинстве случаев эти учетные данные позволяли как извлекать, так и передавать привилегии”, – отметили исследователи. “Более того, мы часто обнаруживали изображения частных контейнеров в большинстве этих реестров”.
Более того, почти 50% из 93 паролей были признаны ненадежными. В их число входили password, test123456, windows12, ChangeMe и dockerhub, среди прочих.
“Это подчеркивает острую необходимость в организационных политиках паролей, которые обеспечивают соблюдение строгих правил создания паролей для предотвращения использования таких уязвимых паролей”, – добавили исследователи.
Aqua заявила, что также обнаружила случаи, когда организациям не удается удалить секреты из файлов, которые хранятся в общедоступных репозиториях на GitHub, что приводит к непреднамеренному раскрытию.
Но стоит отметить, что все учетные данные, связанные с AWS и Google Container Registry (GCR), были признаны временными и срок их действия истек, что делает доступ невозможным. Аналогичным образом, реестр контейнеров GitHub требовал двухфакторной аутентификации (2FA) в качестве дополнительного уровня защиты от несанкционированного доступа.
“В некоторых случаях ключи были зашифрованы, и, таким образом, ключ не имел к этому никакого отношения”, – сказали исследователи. “В некоторых случаях, пока ключ действителен, он имеет минимальные привилегии, часто просто для извлечения или загрузки определенного артефакта или изображения”.
Согласно отчету Red Hat о состоянии безопасности Kubernetes, опубликованному ранее в этом году, уязвимости и неправильные настройки стали главными проблемами безопасности контейнерных сред, причем 37% из общего числа 600 респондентов назвали потерю доходов / клиентов в результате инцидента с безопасностью контейнера и Kubernetes.
