Microsoft, Kubernetes dağıtımlarındaki varsayılan yapılandırmalar tarafından ortaya çıkan güvenlik riskleri, özellikle de hassas verileri herkese açık olarak ortaya çıkarabilen kutudan çıkma dümen grafikleri kullanan güvenlik riskleri konusunda uyarıyor.
Birçok durumda, bu dümen grafikleri kimlik doğrulama gerektirmedi, sömürülebilir bağlantı noktaları açık ve kırılacak önemsiz veya sabit kodlu şifreler kullandı.
Güvenlik araştırmacıları Michael Katchinskiy ve Microsoft Defender’dan Yossi Weizman tarafından yayınlanan bir rapor, Kubernetes iş yüklerini riske atan daha geniş bir güvenlik sorununa örnek olarak üç vakayı vurgulamaktadır.
Güvenlik ve Güvenlik
Kubernetes, kapsayıcı uygulamaların dağıtımını, ölçeklendirilmesini ve yönetimini otomatikleştirmek için tasarlanmış yaygın olarak kullanılan bir açık kaynak platformudur.
Helm, Kubernetes için bir paket yöneticisidir ve grafikler, platformda uygulamaları dağıtmak için şablonlar/planlardır ve bir uygulama çalıştırmak için gereken temel kaynakları tanımlayan YAML dosyaları sağlar.
Dümen grafikleri popülerdir, çünkü karmaşık dağıtımları basitleştirir ve hızlandırırlar. Ancak, Microsoft’un raporunda vurgulandığı gibi, birçok durumda, bu grafiklerdeki varsayılan ayarlarda uygun güvenlik önlemleri yoktur.
Bulut güvenliği konusunda deneyimsiz kullanıcılar genellikle bu dümen grafiklerini olduğu gibi dağıtıyor, istemeden hizmetleri internete maruz bırakıyor ve saldırganların yanlış yapılandırılmış uygulamaları taramasına ve kullanmasına izin veriyor.
Kaynak: Microsoft
Microsoft araştırmacıları, “Uygun güvenlik kontrolleri olmayan varsayılan yapılandırmalar ciddi bir güvenlik tehdidi yaratıyor.”
Diyerek şöyle devam etti: “YAML tezahürlerini ve dümen grafiklerini dikkatlice incelemeden, kuruluşlar bilmeden herhangi bir koruma eksikliği olan hizmetleri kullanabilir ve bunları tamamen saldırganlara maruz bırakabilir.”
Diyerek şöyle devam etti: “Bu, özellikle konuşlandırılan uygulamanın hassas API’leri sorgulayabileceği veya idari işlemlere izin verebileceği zamanla ilgilidir, bu da kısa süre içinde göreceğimiz şeydir.”
Araştırmacılar, Kubernetes ortamlarını aşağıdaki gibi özetleyen üç dümen grafik vakasını vurgulamaktadır.
- Apache Pinot: Herhangi bir kimlik doğrulaması olmadan Kubernetes Loadbalancer Hizmetleri aracılığıyla temel hizmetleri (Pinot-Kontrolör ve Pinot-Broker) ortaya çıkarır.
- Örgü: Halka açık kayıtlara maruz kalan IP’den izin verilir, bu da herkesin küme işlemlerine kaydolmasına ve erişmesine izin verir.
- Selenyum ızgarası: Bir NodePort, bir kümedeki tüm düğümlerde hizmeti yalnızca koruma için harici güvenlik duvarı kurallarına dayanarak ortaya çıkarır. Sorun resmi dümen şemasını etkilemiyor, ancak birçok GitHub projesine atıfta bulundu.
Selenium ızgarası ile ilgili olarak, Wiz ve diğer siber güvenlik firmaları daha önce XMRIG madencilerini Monero kripto para birimine dağıtmak için yanlış yapılandırılmış örnekleri hedefleyen saldırıları gözlemlemişlerdir.
Riskleri azaltmak için Microsoft, bir güvenlik perspektifinden değerlendirmek için dümen grafiklerinin varsayılan yapılandırmasını dikkatlice gözden geçirmenizi ve kimlik doğrulama ve ağ izolasyonu içermesini önerir.
Ayrıca, iş yükü arayüzlerini kamuya açık ve şüpheli aktivite için kapları yakından izleyen yanlış yapılandırmalar için düzenli taramaların yapılması önerilir.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.