Los investigadores de ciberseguridad advierten sobre secretos de configuraci\u00f3n de Kubernetes expuestos p\u00fablicamente que podr\u00edan poner a las organizaciones en riesgo de sufrir ataques a la cadena de suministro.<\/p>\n
“Estos secretos de configuraci\u00f3n codificados de Kubernetes se cargaron en repositorios p\u00fablicos”, afirman los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag. dicho<\/a> en una nueva investigaci\u00f3n publicada a principios de esta semana.<\/p>\n Algunos de los afectados incluyen dos importantes empresas de blockchain y varias otras empresas de Fortune 500, seg\u00fan la firma de seguridad en la nube, que aprovech\u00f3 la API de GitHub para recuperar todas las entradas que contienen .dockerconfigjson y .dockercfg, que almacenar credenciales<\/a> para acceder a un registro de im\u00e1genes de contenedor.<\/p>\n De los 438 registros que potencialmente ten\u00edan credenciales v\u00e1lidas para los registros, 203 registros (alrededor del 46%) conten\u00edan credenciales v\u00e1lidas que proporcionaban acceso a los respectivos registros. Noventa y tres de las contrase\u00f1as fueron establecidas manualmente por individuos, a diferencia de las 345 que fueron generadas por computadora.<\/p>\n “En la mayor\u00eda de los casos, estas credenciales permit\u00edan privilegios tanto para atraer como para impulsar”, anotaron los investigadores. “Adem\u00e1s, a menudo descubrimos im\u00e1genes de contenedores privados dentro de la mayor\u00eda de estos registros”.<\/p>\n Adem\u00e1s, casi el 50% de las 93 contrase\u00f1as se consideraron d\u00e9biles. Esto inclu\u00eda contrase\u00f1a, test123456, windows12, ChangeMe y dockerhub, entre otros.<\/p>\n “Esto subraya la necesidad cr\u00edtica de pol\u00edticas de contrase\u00f1as organizacionales que apliquen reglas estrictas de creaci\u00f3n de contrase\u00f1as para evitar el uso de contrase\u00f1as tan vulnerables”, agregaron los investigadores.<\/p>\n Aqua dijo que tambi\u00e9n encontr\u00f3 casos en los que las organizaciones no eliminan secretos de los archivos que est\u00e1n comprometidos en repositorios p\u00fablicos en GitHub, lo que lleva a una exposici\u00f3n involuntaria.<\/p>\n Pero como nota positiva, se descubri\u00f3 que todas las credenciales asociadas con AWS y Google Container Registry (GCR) eran temporales y caducaron, lo que imposibilitaba el acceso. De manera similar, GitHub Container Registry requer\u00eda autenticaci\u00f3n de dos factores (2FA) como capa adicional contra el acceso no autorizado.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Secretos-de-Kubernetes-de-empresas-Fortune-500-expuestos-en-repositorios.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n