Kubernetes-Sicherheit: Sensible Geheimnisse aufgedeckt
Cybersecurity-Forscher warnen vor Kubernetes-Sicherheit Problemen inmitten der Aufdeckung von Konfigurationsgeheimnissen. Man geht davon aus, dass eine solche Offenlegung Unternehmen dem Risiko von Angriffen auf die Lieferkette aussetzen könnte.
Forscher glauben, dass solche Angriffe mit Hilfe von Kubernetes-Geheimnissen, die in öffentlichen Repositories offengelegt werden, orchestriert werden könnten, da diese den Zugang zum Software Development Life Cycle (SDLC) ermöglichen. In diesem Blog befassen wir uns mit den Details dieser Geheimnisse und den Schutzmaßnahmen, die ergriffen werden sollten, um eine solche Aufdeckung zu vermeiden.
Fortune 500 Cybersecurity-Risiko
Die Gefährdung betraf zwei führende Blockchain-Unternehmen und verschiedene andere Fortune-500-Unternehmen. Das Artifacts-Management-System von SAP mit über 95 Millionen Artefakten war von der Offenlegung betroffen. Es ist erwähnenswert, dass diese offengelegten Geheimnisse für die Verwaltung sensibler Daten in einer Open-Source-Umgebung für die Container-Orchestrierung von entscheidender Bedeutung sind.
Diese Geheimnisse werden jedoch unverschlüsselt im Datenspeicher der Anwendungsprogrammierschnittstelle (APIs) gespeichert, wodurch sie anfällig für Cyber-Bedrohungen in der Container-Orchestrierung. Die Absicherung sensibler Daten in Kubernetes ist von entscheidender Bedeutung, da die Ausnutzung einer Schwachstelle schwerwiegende Folgen für die betroffenen Unternehmen hat.
Jüngste Umfrageberichte haben festgestellt, dass in Bezug auf die Containersicherheit in UnternehmenSchwachstellen und Fehlkonfigurationen eine der größten Sorgen sind. Darüber hinaus gab der Bericht an, dass 37 % der Befragten Umsatz- oder Kundenverluste aufgrund der Ausnutzung solcher Schwachstellen angaben.
Kubernetes-Sicherheit - Details zu den enthüllten Geheimnissen
Die Forscher von Aqua haben erklärt, dass sie sich auf zwei Arten von Kubernetes-Geheimnissen konzentriert haben: dockercfg und dockerconfigjson. Container-Sicherheitsmaßnahmen für diese beiden Sicherheitsmaßnahmen sind unerlässlich, da sie Anmeldeinformationen für den Zugriff auf externe Repositories speichern. Das Forscherteam nutzte die API von GitHub, um Fälle zu identifizieren, in denen solche Geheimnisse in öffentliche Repositories hochgeladen wurden.
Das Team kommentierte die Angelegenheit mit den Worten, "Wir haben Hunderte von Fällen in öffentlichen Repositories aufgedeckt, was die Schwere des Problems unterstreicht, von dem Privatpersonen, Open-Source-Projekte und große Organisationen gleichermaßen betroffen sind. Die anfängliche Abfrage führte zu über 8000 Ergebnissen.
Später wurde die Abfrage jedoch dahingehend verfeinert, dass nur Einträge mit Benutzer- und Passwortwerten angezeigt wurden, die in Base 64 kodiert waren. Diese verfeinerten Protokolle ergaben 438 Datensätze, die Anmeldedaten enthielten. Von diesen Datensätzen enthielten 203 Anmeldedaten, die tatsächlich zu einem Zugang zu den jeweiligen Repositories führten.
Es ist erwähnenswert, dass nur 93 der Anmeldedaten von Einzelpersonen erstellt wurden, während die anderen 345 anscheinend von Computern generiert wurden. Darüber hinaus boten sie Zugang für Pull- und Push-Privilegien, und die meisten von ihnen hatten auch private Container-Images. Einige der bemerkenswertesten Registrierungen, die offengelegt wurden, sind Docker Hub, Azure ECR und Quay.
Nachstehend finden Sie eine Aufschlüsselung der Register und Anmeldeinformationen, die offengelegt wurden.
Registry | Offengelegte Anmeldeinformationen | Gültige Berechtigungsnachweise |
Private Registratur | 135 | 45 |
Docker-Hub | 94 | 64 |
Kai | 54 | 44 |
Azure ECR | 24 | 5 |
GitHub-Registrierung | 21 | 10 |
Jfrog | 19 | 4 |
Roter Hut | 17 | 15 |
Gitlab-Registrierung | 17 | 9 |
Aliyun CS | 13 | 3 |
Openshift | 10 | 0 |
GCR | 9 | 0 |
IBM ICR | 8 | 4 |
Hafen | 7 | 0 |
DigitalOcean | 4 | 0 |
Tencent | 3 | 0 |
AWS | 1 | 0 |
OVH | 1 | 0 |
Dreh- und Angelpunkt | 1 | 0 |
Das Forschungsteam bezeichnete den Passwortschutz als eine der vielen Kubernetes-Best-Practices, "Dies unterstreicht die kritische Notwendigkeit für organisatorische Passwortrichtlinien, die strenge Regeln für die Erstellung von Passwörtern durchsetzen, um die Verwendung solch anfälliger Passwörter zu verhindern." Einige der schwächsten Passwörter, die aktiv verwendet wurden, sind:
- Kennwort.
- test123456.
- Fenster12.
- ChangeMe.
- Dockerhub.
Es ist erwähnenswert, dass die Berechtigungsnachweise für GCR und AWS Verfallsdaten die sie unbrauchbar machten, nachdem sie offengelegt worden waren.
Bemerkenswerte Anwendungsfälle
In einem Versuch, das Kubernetes-Schwachstellen-Managementidentifizierten die Aqua-Forscher mehrere Anwendungsfälle, die ein erhebliches Risiko für das Unternehmen darstellen. Dabei konzentrierte sich das Team vor allem auf die Registrierungen von Quay, Red Hat und Docker Hub, da sie die höchste Anzahl gültiger Anmeldedaten aufwiesen.
SAP-Artefakte
Sie entdeckten gültige Anmeldedaten, die den Zugang zu mehr als 95 Millionen Artefakten ermöglichten. Zu den potenziellen Bedrohungen, die sich aus einem solchen Zugang ergeben könnten, gehört das Entweichen von geschütztem Code, Angriffe auf die Lieferketteund Datenschutzverletzungen. Es ist wichtig zu wissen, dass jede dieser Bedrohungen die Integrität, den Ruf und die Kundenbeziehungen eines Unternehmens negativ beeinflussen kann.
Blockchain-Unternehmen
Das Team hat außerdem Geheimnisse für die Registrierungen von zwei führenden Blockchain-Unternehmen entdeckt. Diese Geheimnisse ermöglichen sowohl Push- als auch Pull-Privilegien und könnten, wenn sie ausgenutzt werden, sehr beliebte Projekte und Kryptowährungen beeinträchtigen.
Docker Hub-Konten
Die entdeckten Docker-Hub-Zugangsdaten gewährten vollen Zugriff auf die Konten. Es ist erwähnenswert, dass diese Konten mit 2.948 Container-Images verknüpft waren, was einer Anzahl von 46 Millionen Image-Zugriffe. Noch beunruhigender ist die Tatsache, dass 26 % der Container-Images privat waren, was bedeutet, dass Unbefugte keinen Zugriff auf sie haben sollten.
Strategien zur Risikominderung für Kubernetes-Sicherheit
Angesichts der zunehmenden Cyber-Bedrohungen müssen die Strategien zur Eindämmung der Bedrohungen für Kubernetes-Sicherheit ist jetzt für Unternehmen weltweit unerlässlich. Aus dem, was bisher aufgedeckt wurde, lassen sich einige der wichtigsten Kubernetes-Best-Practices umfassen:
- Verwendung von Verfallsdaten für Geheimnisse, Token und Berechtigungsnachweise, um sicherzustellen, dass sie nicht länger als nötig verwendet werden können.
- Verschlüsselung der Schlüssel, so dass sie für diejenigen, die keinen Schlüssel haben, unbrauchbar werden.
- Anpassung der Philosophie der geringsten Privilegien, um sicherzustellen, dass selbst bei unberechtigtem Zugriff der Schaden so gering wie möglich gehalten wird, da übermäßige Privilegien gewährt werden.
- Verwendung der Zwei-Faktor-Authentifizierung (2FA) für menschliche Benutzer, da sie unbefugten Zugriff verhindern kann.
Schlussfolgerung
Offengelegte Kubernetes-Geheimnisse haben die Organisation in Gefahr gebracht. Forscher haben bisher festgestellt, dass von den 438 offengelegten Anmeldeinformationen 203 tatsächlich gültig waren. Diese Zugangsdaten könnten für Push- und Pull-Privilegien, undichten Code und die Ausführung von Datenverletzungen verwendet werden. Solche Ergebnisse sind eine deutliche Erinnerung daran, dass Unternehmen proaktive Cybersicherheitsmaßnahmen um ihre Infrastruktur, Netzwerke und Daten zu schützen.
Zu den Quellen für diesen Beitrag gehören Artikel in den Hacker-Nachrichten und Aqua.