Microsoft, Kubernetes dağıtımları sırasında, kutudan çıkma dümen grafikleri gibi önceden hazırlanmış şablonların kullanılmasının yanlış konfigürasyonlara kapıyı açabileceği ve değerli verileri sızdırabileceği konusunda uyardı.
Bulut Araştırma Ekibi Microsoft Defender’dan Michael Katchinskiy ve Yossi Weizman, “Bu ‘tak ve oynat’ seçenekleri kurulum sürecini büyük ölçüde basitleştirirken, genellikle güvenlik üzerinden kullanım kolaylığına öncelik veriyorlar.” Dedi.
“Sonuç olarak, çok sayıda uygulama varsayılan olarak yanlış yapılandırılmış bir durumda konuşlandırılır, hassas verileri, bulut kaynaklarını ve hatta tüm ortamı saldırganlara açığa çıkarır.”
Helm, geliştiricilerin uygulamaları ve hizmetleri Kubernetes kümelerine paketlemesine, yapılandırmasına ve dağıtmasına olanak tanıyan Kubernetes için bir paket yöneticisidir. Bulut Yerel Bilgi İşlem Vakfı’nın (CNCF) bir parçası.
Kubernetes uygulama paketleri, uygulamayı dağıtmak için gerekli Kubernetes kaynaklarını ve yapılandırmalarını tanımlamak için kullanılan YAML tezahürleri ve şablonlar olan grafikler adı verilen dümen ambalaj formatında yapılandırılmıştır.
Microsoft, açık kaynaklı projelerin genellikle güvenlik üzerinden kullanım kolaylığına öncelik veren, özellikle iki büyük kaygıya yol açan varsayılan tezahürleri veya önceden tanımlanmış dümen grafiklerini içerdiğine dikkat çekti-
- Uygun ağ kısıtlamaları olmadan hizmetleri harici olarak ortaya çıkarmak
- Varsayılan olarak yeterli yerleşik kimlik doğrulama veya yetkilendirme eksikliği
Sonuç olarak, YAML tezahürlerini ve dümen grafiklerini incelemeden bu projeleri kullanan kuruluşlar, uygulamalarını yanlışlıkla saldırganlara maruz bırakabilir. Dağıtım uygulama, hassas API’lerin sorgulanmasını veya idari işlemlere izin vermeyi kolaylaştırdığında, bu ciddi sonuçlar doğurabilir.
Kubernetes ortamlarını saldırı riski altına sokabilecek belirlenmiş projelerden bazıları aşağıdaki gibidir –
- OLAP Datastore’un ana bileşenlerini Pinot-Kontrolör ve Pinot-Broker’ı varsayılan olarak herhangi bir kimlik doğrulaması olmadan Kubernetes Yükbalanker Hizmetleri aracılığıyla İnternet’e maruz bırakan Apache Pinot
- Uygulamanın arayüzünü harici bir IP adresi ile ortaya çıkaran, böylece IP adresine erişimi olan herkesin yeni bir kullanıcıya kaydolmasına, arayüze erişmesine ve yeni kapsülleri dağıtmasına ve sonuçta keyfi kod yürütmesine neden olan Mesherery
- Bir Kubernetes kümesindeki tüm düğümlerde belirli bir bağlantı noktasında bir nodeport hizmeti ortaya çıkaran Selenium Grid, harici güvenlik duvarı kurallarını tek savunma hattı haline getiriyor
Bu tür yanlış yapılandırmalarla ilişkili riskleri azaltmak için, bunları güvenlik en iyi uygulamalarına göre incelemeniz ve değiştirmeniz, periyodik olarak kamuya açık arayüzleri taramanız ve kötü niyetli ve şüpheli faaliyetler için çalışan kapları izlemeniz önerilir.
Araştırmacılar, “Kapsayıcı uygulamaların vahşice sömürülmesi, genellikle varsayılan ayarları kullanırken yanlış yapılandırılmış iş yüklerinden kaynaklanmaktadır.” Dedi. “‘Kolaylık ile varsayılan’ kurulumlarına güvenmek önemli bir güvenlik riski oluşturur.”