Microsoft advierte contra los riesgos de seguridad planteados por configuraciones predeterminadas en las implementaciones de Kubernetes, en particular aquellos que usan gráficos de barras listos para usar, lo que podría exponer públicamente datos confidenciales.
En muchos casos, estos gráficos de barras no requirieron ninguna autenticación, los puertos utilizables que se han abierto y utilizado contraseñas de baja o dura que eran triviales para romper.
Un informe publicado por Michael Katchinskiy y los investigadores de seguridad de Yossi Weizman de Microsoft Defender for Cloud Research destacan tres casos como ejemplos de un problema de seguridad más amplio que pone en peligro las cargas de trabajo de Kubernetes.
Fácil vs seguridad
Kubernetes es una plataforma de código abierto ampliamente utilizada diseñada para automatizar la implementación, escala y administración de aplicaciones contenedores.
Helm es un administrador de paquetes para Kubernetes, y los gráficos son modelos / planes para la implementación de aplicaciones en la plataforma, proporcionando archivos YAML que definen los recursos clave necesarios para ejecutar una aplicación.
Los gráficos de la cabeza son populares porque simplifican y aceleran implementaciones complejas. Sin embargo, como muestra el informe de Microsoft, en muchos casos, los parámetros predeterminados de estos gráficos carecen de medidas de seguridad apropiadas.
Los usuarios inexpertos con seguridad en la nube a menudo implementan estos gráficos de barras tal como son, exponiendo involuntariamente los servicios de Internet y permitiendo a los atacantes escanear y explotar aplicaciones mal configuradas.
Fuente: Microsoft
“Las configuraciones predeterminadas que carecen de las verificaciones de seguridad apropiadas crean una amenaza de seguridad severa”. advierte a los investigadores de Microsoft.
“Sin examinar cuidadosamente las manifiestas yaml y los gráficos de barras, las organizaciones pueden desarrollar los servicios sin conocerlo sin forma de protección, dejándolos completamente expuestos a los atacantes”.
“Esto es particularmente preocupante cuando la aplicación implementada puede cuestionar API confidenciales o permitir acciones administrativas, que es exactamente lo que veremos en breve”.
Los investigadores destacan tres casos de gráficos de barras que ponen los entornos de Kubernetes en riesgo de ataques, resumidos de la siguiente manera.
- Apache Pinot: Exhibe los servicios básicos (Pinot-Controller y Pinot-Broker) a través de Kubernetes LoadBalancer Services sin ninguna autenticación.
- Malla: El registro público está autorizado desde la propiedad intelectual expuesta, lo que permite que cualquiera se registre y accede a las operaciones del clúster.
- Cuadrícula de selenio: Un nodoPort establece el servicio en todos los nodos de un clúster, basado solo en reglas de firewall externas para la protección. El problema no tiene impacto en el gráfico oficial de barras, pero muchos proyectos GitHub en gran medida mencionaron en gran medida.
Con respecto a la red de selenio, Wiz y otras compañías de seguridad cibernética han observado previamente ataques dirigidos a instancias erróneas para implementar menores XMRIG para explotar la criptomoneda de Monero.
Para mitigar los riesgos, Microsoft recomienda aprobar cuidadosamente la configuración predeterminada de los gráficos de barras para evaluarlo desde el punto de vista de seguridad, asegurando que incluya la autenticación y el aislamiento de la red.
Además, se recomienda llevar a cabo análisis regulares para errores de configuración que expongan las interfaces de carga de trabajo que monitorean pública y de cerca los contenedores para una actividad sospechosa.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.