Анализ безопасности контейнерных сред выявил реальные риски в цепочке поставок.
Ведущие специалисты в области кибербезопасности выразили обеспокоенность по поводу публично доступных конфигурационных секретов Kubernetes , которые могут угрожать безопасности цепочек поставок многих организаций. Некоторые из затронутых компаний включают две ведущие блокчейн -компании, название которых не раскрывается в целях безопасности, а также различные другие компании из списка Fortune 500 .
Исследователи компании Aqua Security Для просмотра ссылки Войдиили Зарегистрируйся , что зашифрованные секреты конфигурации Kubernetes были загружены в общедоступные репозитории. Данные для исследования были получены с помощью GitHub API , где анализировались записи, содержащие секреты типа «.dockerconfigjson» и «.dockercfg». Эти файлы хранят учётные данные для доступа к реестрам образов контейнеров.
В результате анализа было выявлено, что из 438 записей, потенциально содержащих действующие учётные данные для реестров, 203 записи (около 46%) действительно содержали актуальные данные, обеспечивая доступ к этим реестрам. Исследователи подчеркнули, что в большинстве случаев эти учётные данные позволяли осуществлять как загрузку, так и выгрузку информации.
При оценке надёжности используемых учётных данных, специалисты выявили, что 93 пароля из 438 были установлены вручную, в отличие от 345, сгенерированных компьютером. При этом почти 50% из этих 93 паролей были слабыми, включая следующие: password, test123456, windows12, ChangeMe, dockerhub и другие.
Находка исследователей подчёркивает критическую необходимость ужесточения политик безопасности в организациях, которые обязывали бы сотрудников использовать куда более строгие правила для создания паролей.
В Aqua также отметили случаи, когда организации случайно оставляли секреты в файлах, отправленных в публичные репозитории на GitHub, что приводило к непреднамеренному раскрытию информации.
Тем не менее, все учётные данные, связанные с AWS и GCR , которые обнаружили исследователи, оказались временными или истёкшими, что сделало доступ невозможным. Аналогичным образом, реестр контейнеров GitHub в обязательном порядке требовал двухфакторной аутентификации ( 2FA ) в качестве дополнительного уровня защиты от несанкционированного доступа. Так что в этих случаях всё оказалось некритично.
Кроме того, некоторые ключи были дополнительно зашифрованы, что делало их использование невозможным. А иногда, даже если ключ был действителен, он обладал минимальными привилегиями, часто подходящего только для загрузки определённого артефакта или образа.
«Потенциальная утечка данных, потеря проприетарного кода и атаки на цепочку поставок являются суровым напоминанием о необходимости строгих мер безопасности», — заключили исследователи Aqua Security, напомнив разработчикам о важности использования временных токенов, шифрования данных, принципе наименьших привилегий и применении двухфакторной аутентификации. Этих мер, по мнению специалистов, вполне достаточно, чтобы обезопасить реестры контейнеров.
Согласно Для просмотра ссылки Войдиили Зарегистрируйся компании Red Hat о состоянии безопасности Kubernetes, уязвимости и неправильные конфигурации выступают главными проблемами безопасности в контейнерных средах. 37% из 600 опрошенных участников указали на потерю доходов или клиентов в результате инцидентов, связанных с безопасностью контейнеров и Kubernetes.
Ведущие специалисты в области кибербезопасности выразили обеспокоенность по поводу публично доступных конфигурационных секретов Kubernetes , которые могут угрожать безопасности цепочек поставок многих организаций. Некоторые из затронутых компаний включают две ведущие блокчейн -компании, название которых не раскрывается в целях безопасности, а также различные другие компании из списка Fortune 500 .
Исследователи компании Aqua Security Для просмотра ссылки Войди
В результате анализа было выявлено, что из 438 записей, потенциально содержащих действующие учётные данные для реестров, 203 записи (около 46%) действительно содержали актуальные данные, обеспечивая доступ к этим реестрам. Исследователи подчеркнули, что в большинстве случаев эти учётные данные позволяли осуществлять как загрузку, так и выгрузку информации.
При оценке надёжности используемых учётных данных, специалисты выявили, что 93 пароля из 438 были установлены вручную, в отличие от 345, сгенерированных компьютером. При этом почти 50% из этих 93 паролей были слабыми, включая следующие: password, test123456, windows12, ChangeMe, dockerhub и другие.
Находка исследователей подчёркивает критическую необходимость ужесточения политик безопасности в организациях, которые обязывали бы сотрудников использовать куда более строгие правила для создания паролей.
В Aqua также отметили случаи, когда организации случайно оставляли секреты в файлах, отправленных в публичные репозитории на GitHub, что приводило к непреднамеренному раскрытию информации.
Тем не менее, все учётные данные, связанные с AWS и GCR , которые обнаружили исследователи, оказались временными или истёкшими, что сделало доступ невозможным. Аналогичным образом, реестр контейнеров GitHub в обязательном порядке требовал двухфакторной аутентификации ( 2FA ) в качестве дополнительного уровня защиты от несанкционированного доступа. Так что в этих случаях всё оказалось некритично.
Кроме того, некоторые ключи были дополнительно зашифрованы, что делало их использование невозможным. А иногда, даже если ключ был действителен, он обладал минимальными привилегиями, часто подходящего только для загрузки определённого артефакта или образа.
«Потенциальная утечка данных, потеря проприетарного кода и атаки на цепочку поставок являются суровым напоминанием о необходимости строгих мер безопасности», — заключили исследователи Aqua Security, напомнив разработчикам о важности использования временных токенов, шифрования данных, принципе наименьших привилегий и применении двухфакторной аутентификации. Этих мер, по мнению специалистов, вполне достаточно, чтобы обезопасить реестры контейнеров.
Согласно Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru