Утечка секретов Kubernetes: недальновидность разработчиков поставила под угрозу гигантов блокчейна

Ведущие специалисты в области кибербезопасности выразили обеспокоенность по поводу публично доступных конфигурационных секретов Kubernetes, которые могут угрожать безопасности цепочек поставок многих организаций. Некоторые из затронутых компаний включают две ведущие блокчейн-компании, название которых не раскрывается в целях безопасности, а также различные другие компании из списка Fortune 500.

Исследователи компании Aqua Security сообщили , что зашифрованные секреты конфигурации Kubernetes были загружены в общедоступные репозитории. Данные для исследования были получены с помощью GitHub API, где анализировались записи, содержащие секреты типа «.dockerconfigjson» и «.dockercfg». Эти файлы хранят учётные данные для доступа к реестрам образов контейнеров.

В результате анализа было выявлено, что из 438 записей, потенциально содержащих действующие учётные данные для реестров, 203 записи (около 46%) действительно содержали актуальные данные, обеспечивая доступ к этим реестрам. Исследователи подчеркнули, что в большинстве случаев эти учётные данные позволяли осуществлять как загрузку, так и выгрузку информации.

При оценке надёжности используемых учётных данных, специалисты выявили, что 93 пароля из 438 были установлены вручную, в отличие от 345, сгенерированных компьютером. При этом почти 50% из этих 93 паролей были слабыми, включая следующие: password, test123456, windows12, ChangeMe, dockerhub и другие.

Находка исследователей подчёркивает критическую необходимость ужесточения политик безопасности в организациях, которые обязывали бы сотрудников использовать куда более строгие правила для создания паролей.

В Aqua также отметили случаи, когда организации случайно оставляли секреты в файлах, отправленных в публичные репозитории на GitHub, что приводило к непреднамеренному раскрытию информации.

Тем не менее, все учётные данные, связанные с AWS и GCR, которые обнаружили исследователи, оказались временными или истёкшими, что сделало доступ невозможным. Аналогичным образом, реестр контейнеров GitHub в обязательном порядке требовал двухфакторной аутентификации (2FA) в качестве дополнительного уровня защиты от несанкционированного доступа. Так что в этих случаях всё оказалось некритично.

Кроме того, некоторые ключи были дополнительно зашифрованы, что делало их использование невозможным. А иногда, даже если ключ был действителен, он обладал минимальными привилегиями, часто подходящего только для загрузки определённого артефакта или образа.

«Потенциальная утечка данных, потеря проприетарного кода и атаки на цепочку поставок являются суровым напоминанием о необходимости строгих мер безопасности», — заключили исследователи Aqua Security, напомнив разработчикам о важности использования временных токенов, шифрования данных, принципе наименьших привилегий и применении двухфакторной аутентификации. Этих мер, по мнению специалистов, вполне достаточно, чтобы обезопасить реестры контейнеров.

Согласно апрельскому отчёту компании Red Hat о состоянии безопасности Kubernetes, уязвимости и неправильные конфигурации выступают главными проблемами безопасности в контейнерных средах. 37% из 600 опрошенных участников указали на потерю доходов или клиентов в результате инцидентов, связанных с безопасностью контейнеров и Kubernetes.