Los investigadores de ciberseguridad advierten sobre secretos de configuración de Kubernetes expuestos públicamente que podrían poner a las organizaciones en riesgo de sufrir ataques a la cadena de suministro.
«Estos secretos de configuración codificados de Kubernetes se cargaron en repositorios públicos», afirman los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag. dicho en una nueva investigación publicada a principios de esta semana.
Algunos de los afectados incluyen dos importantes empresas de blockchain y varias otras empresas de Fortune 500, según la firma de seguridad en la nube, que aprovechó la API de GitHub para recuperar todas las entradas que contienen .dockerconfigjson y .dockercfg, que almacenar credenciales para acceder a un registro de imágenes de contenedor.
De los 438 registros que potencialmente tenían credenciales válidas para los registros, 203 registros (alrededor del 46%) contenían credenciales válidas que proporcionaban acceso a los respectivos registros. Noventa y tres de las contraseñas fueron establecidas manualmente por individuos, a diferencia de las 345 que fueron generadas por computadora.
«En la mayoría de los casos, estas credenciales permitían privilegios tanto para atraer como para impulsar», anotaron los investigadores. «Además, a menudo descubrimos imágenes de contenedores privados dentro de la mayoría de estos registros».
Además, casi el 50% de las 93 contraseñas se consideraron débiles. Esto incluía contraseña, test123456, windows12, ChangeMe y dockerhub, entre otros.
«Esto subraya la necesidad crítica de políticas de contraseñas organizacionales que apliquen reglas estrictas de creación de contraseñas para evitar el uso de contraseñas tan vulnerables», agregaron los investigadores.
Aqua dijo que también encontró casos en los que las organizaciones no eliminan secretos de los archivos que están comprometidos en repositorios públicos en GitHub, lo que lleva a una exposición involuntaria.
Pero como nota positiva, se descubrió que todas las credenciales asociadas con AWS y Google Container Registry (GCR) eran temporales y caducaron, lo que imposibilitaba el acceso. De manera similar, GitHub Container Registry requería autenticación de dos factores (2FA) como capa adicional contra el acceso no autorizado.
«En algunos casos, las claves estaban cifradas y, por lo tanto, no había nada que ver con la clave», dijeron los investigadores. «En algunos casos, aunque la clave era válida, tenía privilegios mínimos, a menudo sólo para extraer o descargar un artefacto o imagen específica».
Según Red Hat Informe sobre el estado de seguridad de Kubernetes publicado a principios de este año, las vulnerabilidades y las configuraciones incorrectas surgieron como las principales preocupaciones de seguridad en los entornos de contenedores, y el 37% del total de 600 encuestados identificó pérdidas de ingresos/clientes como resultado de un incidente de seguridad de contenedores y Kubernetes.