Microsoft ha advertido que el uso de plantillas prefabricadas, como gráficos de timón listos para usar, durante Kubernetes Las implementaciones podrían abrir la puerta a configuraciones erróneas y filtrar datos valiosos.
“Si bien estas opciones de ‘plug-and-play’ simplifican en gran medida el proceso de configuración, a menudo priorizan la facilidad de uso sobre la seguridad”, Michael Katchinskiy y Yossi Weizman del Equipo de Investigación de la Cloud de Microsoft para Cloud Team dicho.
“Como resultado, una gran cantidad de aplicaciones terminan siendo implementadas en un estado mal configurado por defecto, exponiendo datos confidenciales, recursos en la nube o incluso todo el entorno a los atacantes”.
Helm es un administrador de paquetes para Kubernetes que permite a los desarrolladores empaquetar, configurar e implementar aplicaciones y servicios en clústeres de Kubernetes. Es parte de la Cloud Native Computing Foundation (CNCF).
Los paquetes de aplicación de Kubernetes están estructurados en el formato de embalaje de timón llamado gráficosque son manifiestas y plantillas YAML utilizadas para describir los recursos y configuraciones de Kubernetes necesarios para implementar la aplicación.
Microsoft señaló que los proyectos de código abierto a menudo incluyen manifestaciones predeterminadas o gráficos de timón predefinidos que priorizan la facilidad de uso sobre la seguridad, particularmente a dos preocupaciones importantes,
- Exponer los servicios externamente sin restricciones de red adecuadas
- Falta de autenticación o autorización incorporada adecuada por defecto
Como resultado, las organizaciones que usan estos proyectos sin revisar los manifiestos YAML y los gráficos de timón pueden terminar exponiendo inadvertidamente sus aplicaciones a los atacantes. Esto puede tener graves consecuencias cuando la aplicación implementada facilita la consulta de API sensibles o permite acciones administrativas.
Algunos de los proyectos identificados que podrían poner los entornos de Kubernetes en riesgo de ataques son los siguientes.
- Apache Pinot, que exponido Los componentes principales del OLAP DataStore, Pinot-Controller y Pinot-Broker, a Internet a través de Kubernetes LoadBalancer Services sin ninguna autenticación por defecto
- Malla que exponido La interfaz de la aplicación a través de una dirección IP externa, lo que permite que cualquier persona con acceso a la dirección IP se registre con un nuevo usuario, obtenga acceso a la interfaz e implementa nuevos pods, lo que finalmente resulta en la ejecución del código arbitrario
- Cuadrícula de selenio, que exponido Un servicio nodoPort en un puerto específico en todos los nodos en un clúster de Kubernetes, lo que hace que las reglas de firewall externos la única línea de defensa
Para mitigar los riesgos asociados con tales configuraciones erróneas, se recomienda revisarlos y modificarlos de acuerdo con las mejores prácticas de seguridad, escanear periódicamente las interfaces y monitorear los contenedores en funcionamiento para actividades maliciosas y sospechosas.
“Muchas explotaciones en el flujo de aplicaciones contenedores se originan en cargas de trabajo mal configuradas, a menudo cuando se utilizan la configuración predeterminada”, dijeron los investigadores. “Confiar en las configuraciones ‘predeterminadas por conveniencia’ representan un riesgo de seguridad significativo”.
About the Author
