쿠버네티스 보안: 민감한 비밀 노출
사이버 보안 연구자들은 다음과 같은 경고를 하고 있습니다. 쿠버네티스 보안 문제 에 대해 경고하고 있습니다. 이러한 노출은 조직을 공급망 공격의 위험에 빠뜨릴 수 있는 것으로 간주되고 있습니다.
연구원들은 이러한 공격이 소프트웨어 개발 수명 주기(SDLC)에 대한 액세스를 허용하기 때문에 공개 리포지토리에 노출된 Kubernetes 기밀을 사용하여 조율될 수 있다고 생각합니다. 이 블로그에서는 이러한 비밀에 대한 자세한 내용과 이러한 노출을 방지하기 위해 채택해야 하는 완화 조치에 대해 자세히 알아보겠습니다.
포춘 500대 기업 사이버 보안 위험
이 노출은 상위 블록체인 기업 두 곳과 다른 여러 포춘 500대 기업에 영향을 미쳤습니다. 9,500만 개가 넘는 아티팩트가 있는 SAP의 아티팩트 관리 시스템이 이번 노출로 인해 영향을 받았습니다. 이렇게 노출된 기밀은 컨테이너 오케스트레이션에 사용되는 오픈 소스 환경 내에서 민감한 데이터를 관리하는 데 필수적이라는 점을 언급할 필요가 있습니다.
그러나 이러한 비밀은 암호화되지 않은 채 애플리케이션 프로그래밍 인터페이스(API) 데이터스토어에 저장되므로 다음과 같은 사이버 위협에 취약합니다. 컨테이너 오케스트레이션의 사이버 위협. 쿠버네티스에서 민감한 데이터를 보호하는 것은 에서 중요한 데이터를 보호하는 것은 취약점이 악용될 경우 영향을 받는 조직에 심각한 영향을 미치기 때문에 필수적입니다.
최근 설문 조사 보고서 에 따르면 엔터프라이즈 컨테이너 보안에 따르면 취약성과 잘못된 설정이 가장 큰 우려 사항이라고 합니다. 또한 이 보고서에서는 응답자의 37%가 이러한 취약점 악용으로 인해 매출 또는 고객 손실이 발생했다고 답했습니다.
쿠버네티스 보안 - 노출된 비밀에 대한 세부 정보
Aqua의 연구원 의 연구원들은 두 가지 유형의 쿠버네티스 시크릿에 집중했다고 밝혔다: dockercfg 와 dockerconfigjson. 컨테이너 보안 조치 은 외부 리포지토리에 액세스하는 데 사용되는 자격 증명을 저장하므로 이 두 가지 보안 조치가 필수적입니다. 연구팀은 GitHub의 API를 사용하여 이러한 비밀이 공개 리포지토리에 업로드된 사례를 식별했습니다.
팀은 이 문제에 대해 다음과 같이 말했습니다, "공개 리포지토리에서 수백 건의 사례를 발견했으며, 이는 개인, 오픈소스 프로젝트, 대규모 조직 모두에 영향을 미치는 문제의 심각성을 강조했습니다." 초기 쿼리에서 8,000개가 넘는 결과가 나왔습니다.
그러나 이 쿼리는 나중에 사용자 및 비밀번호 값이 기본 64로 인코딩된 항목만 표시하도록 개선되었습니다. 이렇게 정제된 프로토콜을 통해 로그인 자격 증명이 포함된 438개의 레코드가 도출되었습니다. 이 중 203개의 레코드에는 실제로 각 리포지토리에 액세스할 수 있는 자격 증명이 포함되어 있었습니다.
한 가지 주목할 점은 개인이 설정한 자격 증명은 93개에 불과하고 나머지 345개는 컴퓨터가 생성한 것으로 보인다는 점입니다. 또한, 풀링 권한과 푸시 권한 모두에 대한 액세스 권한을 제공했으며, 대부분 비공개 컨테이너 이미지도 가지고 있었습니다. 노출된 레지스트리 중 가장 주목할 만한 레지스트리로는 Docker Hub, Azure ECR, Quay 등이 있습니다.
다음은 노출된 레지스트리 및 자격 증명의 세부 정보입니다.
레지스트리 | 노출된 자격 증명 | 유효한 자격 증명 |
비공개 레지스트리 | 135 | 45 |
도커 허브 | 94 | 64 |
부두 | 54 | 44 |
Azure ECR | 24 | 5 |
GitHub 레지스트리 | 21 | 10 |
Jfrog | 19 | 4 |
빨간 모자 | 17 | 15 |
Gitlab 레지스트리 | 17 | 9 |
알리윤 CS | 13 | 3 |
오픈 시프트 | 10 | 0 |
GCR | 9 | 0 |
IBM ICR | 8 | 4 |
항구 | 7 | 0 |
디지털 오션 | 4 | 0 |
Tencent | 3 | 0 |
AWS | 1 | 0 |
OVH | 1 | 0 |
중추적 | 1 | 0 |
연구팀은 비밀번호 보호를 많은 Kubernetes 모범 사례 중 하나로 간주한다고 말했습니다, "이는 이렇게 취약한 비밀번호의 사용을 방지하기 위해 엄격한 비밀번호 생성 규칙을 적용하는 조직 비밀번호 정책의 필요성을 강조합니다." 활발하게 사용되고 있던 가장 취약한 비밀번호는 다음과 같습니다:
- 비밀번호.
- test123456.
- windows12.
- ChangeMe.
- 도커허브.
한 가지 주목할 점은 GCR과 AWS의 자격 증명은 만료 날짜 가 있어 노출된 후에는 아무 소용이 없었습니다.
주목할 만한 사용 사례
개선을 위한 노력 Kubernetes 취약성 관리를 개선하기 위해 Aqua 연구원들은 조직에 심각한 위험을 초래할 수 있는 여러 사용 사례를 파악했습니다. 이를 위해 연구팀은 주로 유효한 자격 증명이 가장 많은 Quay, Red Hat, Docker Hub 레지스트리에 집중했습니다.
SAP 아티팩트
9,500만 개 이상의 아티팩트에 액세스할 수 있는 유효한 자격 증명을 발견했습니다. 이러한 액세스로 인해 발생할 수 있는 잠재적 위협에는 독점 코드 유출이 포함됩니다, 공급망 공격, 데이터 유출 등이 있습니다. 이러한 위협은 조직의 무결성, 평판, 고객 관계에 부정적인 영향을 미칠 수 있다는 사실을 아는 것이 가장 중요합니다.
블록체인 기업
이 팀은 또한 두 개의 최상위 블록체인 회사의 레지스트리에 대한 비밀을 확인했습니다. 이러한 비밀은 푸시 및 풀 권한을 모두 가능하게 하며, 악용될 경우 인기가 높은 프로젝트와 암호화폐에 영향을 미칠 수 있습니다.
도커 허브 계정
발견된 도커 허브 자격 증명은 계정에 대한 전체 액세스 권한을 부여했습니다. 이러한 계정이 2,948개의 컨테이너 이미지와 연결되어 있었으며, 이는 다음과 같은 수치에 해당합니다. 4,600만 개의 이미지 풀. 더욱 놀라운 것은 컨테이너 이미지의 26%가 비공개 이미지로, 권한이 없는 사용자가 액세스해서는 안 되는 이미지였다는 사실입니다.
쿠버네티스 보안을 위한 위험 완화 전략
다양한 사이버 위협이 증가함에 따라 이에 대한 완화 전략을 조정해야 합니다. 쿠버네티스 보안 을 적용하는 것은 이제 전 세계 조직에 필수적입니다. 지금까지 밝혀진 내용을 바탕으로 몇 가지 필수적인 Kubernetes 모범 사례 은 다음과 같습니다:
- 비밀, 토큰 및 자격 증명에 만료 날짜를 사용하여 필요한 기간보다 더 오래 사용할 수 없도록 하세요.
- 키를 암호화하여 암호화 키가 없는 사람은 키를 사용할 수 없게 만듭니다.
- 최소 권한 원칙을 적용하여 무단 액세스가 이루어지더라도 과도한 권한이 제공되지 않도록 하여 피해를 최소화합니다.
- 무단 액세스를 방지할 수 있는 사람 사용자에 대한 2단계 인증(2FA)을 사용하세요.
결론
노출된 쿠버네티스 기밀은 조직을 위험에 빠뜨렸습니다. 연구원들은 현재까지 노출된 438개의 인증정보 중 203개가 실제로 유효한 것으로 확인했습니다. 이러한 자격 증명은 푸시 및 풀 권한, 코드 유출, 데이터 유출 실행에 사용될 수 있습니다. 이러한 결과는 기업이 사전 예방적인 사이버 보안 조치를 선제적인 사이버 보안 조치 사전 예방적 사이버 보안 조치를 취해야 한다는 사실을 일깨워줍니다.
이 글의 출처에는 다음 기사가 포함됩니다. 해커 뉴스 와 Aqua.