ClickCease Seguridad de Kubernetes: Secretos sensibles al descubierto

Tabla de contenidos

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Seguridad de Kubernetes: Secretos sensibles al descubierto

Wajahat Raja

6 de diciembre de 2023 - Equipo de expertos TuxCare

Investigadores de ciberseguridad advierten de seguridad de Kubernetes de Kubernetes en medio de la exposición de secretos de configuración. Se ha considerado que dicha exposición podría poner a las organizaciones en riesgo de sufrir ataques a la cadena de suministro.

Los investigadores creen que estos ataques podrían orquestarse utilizando secretos de Kubernetes expuestos en repositorios públicos, ya que permiten acceder al ciclo de vida de desarrollo de software (SDLC). En este blog, profundizaremos en los detalles de estos secretos y en las medidas de mitigación que deberían adoptarse para evitar dicha exposición.

 

Riesgo de ciberseguridad en Fortune 500 


La exposición afectó a dos de las principales empresas de blockchain y a varias otras empresas de la lista Fortune 500. El sistema de gestión de artefactos de SAP, con más de 95 millones de artefactos, se vio afectado por la exposición. Cabe mencionar que estos secretos expuestos son esenciales para la gestión de datos sensibles dentro de un entorno de código abierto utilizado para la orquestación de contenedores.

Sin embargo, estos secretos se almacenan en el almacén de datos de la interfaz de programación de aplicaciones (API) sin cifrar, lo que los hace vulnerables a ciberamenazas en la orquestación de contenedores. Proteger los datos confidenciales en Kubernetes es esencial, ya que tiene graves implicaciones para las organizaciones afectadas si se explota una vulnerabilidad.

Informes de encuestas recientes han afirmado que cuando se trata de seguridad de los contenedores empresarialeslas vulnerabilidades y los errores de configuración son una de las principales preocupaciones. Además, el informe citaba que el 37 % de los encuestados afirmaba haber perdido ingresos o clientes debido a la explotación de dichas vulnerabilidades.

 

Seguridad de Kubernetes - Detalles de los secretos expuestos

Los investigadores de Aqua han declarado que se centraron en dos tipos de secretos de Kubernetes: dockercfg y dockerconfigjson. Las medidas de seguridad de los contenedores para ambas medidas de seguridad son esenciales, ya que almacenan credenciales utilizadas para acceder a repositorios externos. El equipo de investigadores utilizó la API de GitHub para identificar los casos en los que dichos secretos se subieron a repositorios públicos.

Comentando el asunto, el equipo dijo, "Descubrimos cientos de casos en repositorios públicos, lo que subraya la gravedad del problema, que afecta por igual a particulares, proyectos de código abierto y grandes organizaciones". Su consulta inicial arrojó más de 8.000 resultados.

Sin embargo, la consulta se refinó posteriormente para mostrar sólo las entradas que tuvieran valores de usuario y contraseña codificados en base 64. Estos protocolos refinados arrojaron 438 registros que contenían credenciales de acceso. De estos registros, 203 contenían credenciales que realmente permitían acceder a los respectivos repositorios.  

Vale la pena mencionar que sólo 93 de las credenciales fueron establecidas por individuos, mientras que las otras 345 parecían ser generadas por ordenador. Además, proporcionaban acceso tanto para tirar como para empujar privilegios, y la mayoría de ellos también tenían imágenes de contenedores privadas. Algunos de los registros más notables que fueron expuestos incluyen Docker Hub, Azure ECR y Quay. 

A continuación se ofrece un desglose de los registros y credenciales que quedaron expuestos. 

Registro Credenciales expuestas  Credenciales válidas
Registro privado 135 45
Centro Docker 94 64
Muelle 54 44
Azure ECR 24 5
Registro de GitHub 21 10
Jfrog 19 4
Sombrero rojo 17 15
Registro de Gitlab 17 9
Aliyun CS 13 3
Openshift 10 0
GCR 9 0
IBM ICR 8 4
Puerto 7 0
DigitalOcean 4 0
Tencent 3 0
AWS 1 0
OVH 1 0
Pivotal 1 0

 

Considerando la protección de contraseñas como una de las muchas mejores prácticas de Kubernetes, el equipo de investigación declaró, "Esto subraya la necesidad crítica de políticas de contraseñas organizativas que apliquen reglas estrictas de creación de contraseñas para evitar el uso de contraseñas tan vulnerables". Algunas de las contraseñas más débiles que se utilizaban activamente son:

  • contraseña.
  • test123456.  
  • ventanas12.
  • Cámbiame. 
  • Dockerhub.

Cabe señalar que las credenciales para GCR y AWS tenían fechas de caducidad haciéndolas inútiles después de haber sido expuestas.


Casos de uso destacados


En un intento por mejorar
la gestión de vulnerabilidades de Kuberneteslos investigadores de Aqua procedieron a identificar múltiples casos de uso que plantean riesgos significativos para la organización. Para ello, el equipo se centró principalmente en los registros de Quay, Red Hat y Docker Hub, ya que contaban con el mayor número de credenciales válidas.


Artefactos SAP 


Descubrieron credenciales válidas que daban acceso a más de 95 millones de artefactos. Entre las amenazas potenciales que podrían derivarse de dicho acceso se incluye la filtración de código propietario,
ataques a la cadena de suministroy la violación de datos. Es fundamental saber que cualquiera de estas amenazas puede afectar negativamente a la integridad, la reputación y las relaciones con los clientes de una organización.


Empresas Blockchain 


El equipo también identificó secretos de los registros de dos empresas de blockchain de primer nivel. Estos secretos permiten privilegios push y pull y, si se explotan, es probable que afecten a proyectos y criptomonedas muy populares. 


Cuentas de Docker Hub


Las credenciales del docker hub que se descubrieron otorgaban acceso completo a las cuentas. Cabe mencionar que estas cuentas estaban asociadas a 2.948 imágenes de contenedores, lo que equivale a
46 millones de extracciones de imágenes. Lo que es aún más alarmante es el hecho de que el 26% de las imágenes de contenedores eran privadas, lo que significa que no deberían haber sido accedidas por usuarios no autorizados.


Estrategias de mitigación de riesgos para la seguridad de Kubernetes


Con diversas amenazas cibernéticas en aumento, la adaptación de estrategias de mitigación de aumento para
seguridad de Kubernetes es ahora esencial para las organizaciones de todo el mundo. Aprendiendo de lo descubierto hasta ahora, algunas de las mejores prácticas de Kubernetes incluyen:

  1. Utilizar fechas de caducidad en secretos, tokens y credenciales para garantizar que no permanezcan utilizables durante un periodo superior al necesario. 
  2. Cifrar las claves y hacerlas inútiles para quienes no dispongan de una clave de cifrado. 
  3. Adaptar la filosofía del mínimo privilegio para garantizar que, incluso si se adquiere un acceso no autorizado, los daños se reducen al mínimo, ya que se proporcionan privilegios excesivos. 
  4. Utilizar la autenticación de dos factores (2FA) para los usuarios humanos, ya que puede eliminar el acceso no autorizado. 


Conclusión 

Los secretos de Kubernetes expuestos han puesto en peligro a la organización. Hasta la fecha, los investigadores han identificado que de las 438 credenciales expuestas, 203 eran realmente válidas. Estas credenciales podrían utilizarse para obtener privilegios push y pull, filtrar código y ejecutar filtraciones de datos. Tales resultados sirven como un duro recordatorio de que las empresas deben utilizar medidas proactivas de ciberseguridad para proteger sus infraestructuras, redes y datos.

Las fuentes de este artículo incluyen artículos en The Hacker News y Aqua.

Resumen
Seguridad de Kubernetes: Secretos sensibles al descubierto
Nombre del artículo
Seguridad de Kubernetes: Secretos sensibles al descubierto
Descripción
Lea sobre el reciente incidente de seguridad de Kubernetes y cómo los secretos expuestos ponen en riesgo a las organizaciones. Manténgase informado y proteja sus sistemas.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín