Siber güvenlik araştırmacıları, kuruluşları tedarik zinciri saldırıları riskine sokabilecek Kubernetes yapılandırma sırlarının kamuya açık olduğu konusunda uyarıda bulunuyor.
Aqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, bu hafta başında yayınlanan yeni bir araştırmada “Bu kodlanmış Kubernetes yapılandırma sırları halka açık depolara yüklendi” dedi.
Etkilenenlerden bazıları arasında iki büyük blockchain şirketi ve çeşitli diğer servet 500 şirketleri yer alıyor. Bulut güvenlik firmasına göre, GitHub API’sinden yararlanarak .dockerconfigjson ve .dockercfg içeren tüm girişleri getirdiler.
Kayıtlar için potansiyel olarak geçerli kimlik bilgilerine sahip olan 438 kayıttan 203’ü (yaklaşık %46’sı), ilgili kayıtlara erişim sağlayan geçerli kimlik bilgileri içeriyordu. Bilgisayar tarafından oluşturulan 345 şifrenin aksine, doksan üç şifre bireyler tarafından manuel olarak belirlendi.
Araştırmacılar, “Çoğu durumda, bu kimlik bilgileri ayrıcalıkların hem çekilmesine hem de itilmesine izin verdi” dedi. “Ayrıca, bu kayıtların çoğunda özel konteyner görsellerini sıklıkla keşfettik.”
Ayrıca 93 şifrenin neredeyse %50’sinin zayıf olduğu değerlendirildi. Bu, diğerlerinin yanı sıra şifre, test123456, windows12, ChangeMe ve dockerhub’dan oluşuyordu.
Araştırmacılar, “Bu, bu tür savunmasız şifrelerin kullanımını önlemek için katı şifre oluşturma kurallarını uygulayan kurumsal şifre politikalarına olan kritik ihtiyacın altını çiziyor” diye ekledi.
Aqua ayrıca kuruluşların GitHub’daki halka açık depolarda bulunan dosyalardan sırları kaldırmada başarısız olduğu ve bunun da yanlışlıkla açığa çıkmasına neden olan örnekler bulduğunu söyledi.
Ancak olumlu bir gelişme olarak, AWS ve Google Container Registry (GCR) ile ilişkili tüm kimlik bilgilerinin geçici olduğu ve süresi dolmuş olduğu, bu nedenle erişimi imkansız hale getirdiği belirlendi. Benzer şekilde GitHub Container Registry, yetkisiz erişime karşı ek bir katman olarak iki faktörlü kimlik doğrulamayı (2FA) zorunlu kıldı.
Araştırmacılar, “Bazı durumlarda anahtarlar şifrelenmişti ve dolayısıyla anahtarla hiçbir ilgisi yoktu” dedi. “Bazı durumlarda, anahtar geçerli olsa da, genellikle yalnızca belirli bir yapıyı veya görüntüyü çekmek veya indirmek için minimum ayrıcalıklara sahipti.”
Red Hat’in bu yılın başlarında yayımlanan Kubernetes Durumu Güvenlik Raporu’na göre, güvenlik açıkları ve yanlış yapılandırmalar, konteyner ortamlarında en önemli güvenlik sorunları olarak ortaya çıktı; toplam 600 katılımcının %37’si, bir konteyner ve Kubernetes güvenlik olayının bir sonucu olarak gelir/müşteri kaybını tanımladı.