Ведущие специалисты в области кибербезопасности выразили обеспокоенность по поводу публично доступных конфигурационных секретов Kubernetes, которые могут угрожать безопасности цепочек поставок многих организаций. Некоторые из затронутых компаний включают две ведущие блокчейн-компании, название которых не раскрывается в целях безопасности, а также различные другие компании из списка Fortune 500.
Исследователи компании Aqua Security сообщили , что зашифрованные секреты конфигурации Kubernetes были загружены в общедоступные репозитории. Данные для исследования были получены с помощью GitHub API, где анализировались записи, содержащие секреты типа “.dockerconfigjson” и “.dockercfg”. Эти файлы хранят учётные данные для доступа к реестрам образов контейнеров.
В результате анализа было выявлено, что из 438 записей, потенциально содержащих действующие учётные данные для реестров, 203 записи (около 46%) действительно содержали актуальные данные, обеспечивая доступ к этим реестрам. Исследователи подчеркнули, что в большинстве случаев эти учётные данные позволяли осуществлять как загрузку, так и выгрузку информации.
При оценке надёжности используемых учётных данных, специалисты выявили, что 93 пароля из 438 были установлены вручную, в отличие от 345, сгенерированных компьютером. При этом почти 50% из этих 93 паролей были слабыми, включая следующие: password, test123456, windows12, ChangeMe, dockerhub и другие.
Находка исследователей подчёркивает критическую необходимость ужесточения политик безопасности в организациях, которые обязывали бы сотрудников использовать куда более строгие правила для создания паролей.
В Aqua также отметили случаи, когда организации случайно оставляли секреты в файлах, отправленных в публичные репозитории на GitHub, что приводило к непреднамеренному раскрытию информации.
Тем не менее, все учётные данные, связанные с AWS и GCR, которые обнаружили исследователи, оказались временными или истёкшими, что сделало доступ невозможным. Аналогичным образом, реестр контейнеров GitHub в обязательном порядке требовал двухфакторной аутентификации (2FA) в качестве дополнительного уровня защиты от несанкционированного доступа. Так что в этих случаях всё оказалось некритично.
Кроме того, некоторые ключи были дополнительно зашифрованы, что делало их использование невозможным. А иногда, даже если ключ был действителен, он обладал минимальными привилегиями, часто подходящего только для загрузки определённого артефакта или образа.
“Потенциальная утечка данных, потеря проприетарного кода и атаки на цепочку поставок являются суровым напоминанием о необходимости строгих мер безопасности”, – заключили исследователи Aqua Security, напомнив разработчикам об использовании временных токенов, шифровании данных, принципе наименьших привилегий и применении двухфакторной аутентификации. Этих мер, по мнению специалистов, вполне достаточно, чтобы обезопасить реестры контейнеров.
Согласно апрельскому отчёту компании Red Hat о состоянии безопасности Kubernetes, выпущенного ранее в этом году, уязвимости и неправильные конфигурации выступают как главные проблемы безопасности в контейнерных средах. 37% из 600 опрошенных участников указали на потерю доходов или клиентов в результате инцидентов, связанных с безопасностью контейнеров и Kubernetes.