Les chercheurs en cybersécurité mettent en garde contre les secrets de configuration de Kubernetes exposés publiquement qui pourraient exposer les organisations à des risques d’attaques sur la chaîne d’approvisionnement.
« Ces secrets de configuration codés de Kubernetes ont été téléchargés vers des référentiels publics », ont déclaré Yakir Kadkoda et Assaf Morag, chercheurs en sécurité chez Aqua. dit dans une nouvelle recherche publiée plus tôt cette semaine.
Certaines des personnes concernées incluent deux grandes sociétés de blockchain et diverses autres sociétés Fortune 500, selon la société de sécurité cloud, qui a exploité l’API GitHub pour récupérer toutes les entrées contenant .dockerconfigjson et .dockercfg, qui stocker les informations d’identification pour accéder à un registre d’images de conteneur.
Sur les 438 enregistrements pouvant contenir des informations d’identification valides pour les registres, 203 enregistrements – environ 46 % – contenaient des informations d’identification valides donnant accès aux registres respectifs. Quatre-vingt-treize des mots de passe ont été définis manuellement par des individus, contre 345 générés par ordinateur.
« Dans la majorité des cas, ces informations d’identification permettaient à la fois d’obtenir et de pousser des privilèges », ont noté les chercheurs. « De plus, nous avons souvent découvert des images de conteneurs privés dans la plupart de ces registres. »
De plus, près de 50 % des 93 mots de passe ont été jugés faibles. Cela comprenait le mot de passe, test123456, Windows12, ChangeMe et Dockerhub, entre autres.
« Cela souligne le besoin crucial de politiques de mots de passe organisationnelles qui appliquent des règles strictes de création de mots de passe pour empêcher l’utilisation de mots de passe aussi vulnérables », ont ajouté les chercheurs.
Aqua a déclaré avoir également découvert des cas dans lesquels des organisations ne parvenaient pas à supprimer les secrets des fichiers stockés dans des référentiels publics sur GitHub, ce qui entraînait une exposition par inadvertance.
Mais sur une note positive, toutes les informations d’identification associées à AWS et Google Container Registry (GCR) se sont avérées temporaires et expirées, rendant l’accès impossible. Dans le même esprit, le GitHub Container Registry exigeait une authentification à deux facteurs (2FA) comme couche supplémentaire contre les accès non autorisés.
« Dans certains cas, les clés étaient cryptées et il n’y avait donc rien à voir avec la clé », ont expliqué les chercheurs. « Dans certains cas, même si la clé était valide, elle disposait de privilèges minimes, souvent simplement pour extraire ou télécharger un artefact ou une image spécifique. »
D’après Red Hat Rapport sur l’état de la sécurité de Kubernetes publié plus tôt cette année, les vulnérabilités et les erreurs de configuration sont apparues comme les principales préoccupations en matière de sécurité dans les environnements de conteneurs, avec 37 % des 600 personnes interrogées identifiant une perte de revenus/clients à la suite d’un incident de sécurité de conteneur et de Kubernetes.