Microsoft heeft gewaarschuwd dat het gebruik van vooraf gemaakte sjablonen, zoals out-of-the-box Helm-hitlijsten, tijdens Kubernetes-implementaties de deur openen voor verkeerde configuraties en waardevolle gegevens lekken.
“Hoewel deze ‘plug-and-play’-opties het installatieproces aanzienlijk vereenvoudigen, geven ze vaak prioriteit aan het gebruiksgemak boven beveiliging,” zei Michael Katchinskiy en Yossi Weizman van de Microsoft Defender voor Cloud Research Team.
“Als gevolg hiervan wordt een groot aantal applicaties standaard in een verkeerd geconfigureerde status geïmplementeerd, waardoor gevoelige gegevens, cloudbronnen of zelfs de hele omgeving aan aanvallers worden blootgelegd.”
Helm is een pakketbeheerder voor Kubernetes waarmee ontwikkelaars applicaties en services in Kubernetes -clusters kunnen verpakken, configureren en implementeren. Het maakt deel uit van de Cloud Native Computing Foundation (CNCF).
Kubernetes -applicatiepakketten zijn gestructureerd in het HELM -verpakkingsformaat genaamd grafieken, die YAML -manifests en sjablonen zijn die worden gebruikt om de Kubernetes -bronnen en configuraties te beschrijven die nodig zijn om de app te implementeren.
Microsoft wees erop dat open-source-projecten vaak standaard manifesten of vooraf gedefinieerde helmgrafieken bevatten die prioriteit geven aan het gebruiksgemak boven beveiliging, met name, wat leidt tot twee grote zorgen-
- Extern diensten blootstellen zonder de juiste netwerkbeperkingen
- Gebrek aan voldoende ingebouwde authenticatie of autorisatie standaard
Als gevolg hiervan kunnen organisaties die deze projecten gebruiken zonder YAML -manifests en helmgrafieken te herzien, per ongeluk hun toepassingen blootstellen aan aanvallers. Dit kan ernstige gevolgen hebben wanneer de geïmplementeerde toepassing het aanvragen van gevoelige API’s vergemakkelijkt of administratieve acties mogelijk maakt.
Sommige van de geïdentificeerde projecten die Kubernetes -omgevingen kunnen veroorzaken met een risico op aanvallen zijn als volgt –
- Apache Pinot, die de belangrijkste componenten van de OLAP-datastore, Pinot-Controller en Pinot-broker, blootstelt aan internet via Kubernetes Loadbalancer-services zonder enige authenticatie standaard
- Meshery, dat de interface van de app blootlegt via een extern IP -adres, waardoor iedereen toegang heeft tot het IP -adres om zich aan te melden bij een nieuwe gebruiker, toegang te krijgen tot de interface en nieuwe pods te implementeren, wat uiteindelijk resulteert in willekeurige code -uitvoering
- Selenium Grid, dat een nodeport -service blootlegt op een specifieke poort over alle knooppunten in een Kubernetes -cluster, waardoor externe firewall de enige verdedigingslinie is
Om de risico’s die gepaard gaan met dergelijke verkeerde configuraties te verminderen, wordt geadviseerd om ze te herzien en aan te passen volgens best practices voor beveiliging, periodiek publiekelijk te scannen tegenover interfaces en lopende containers te controleren op kwaadaardige en verdachte activiteiten.
“Veel exploitaties in het wild van containeredetoepassingen zijn afkomstig van verkeerd geconfigureerde workloads, vaak bij het gebruik van standaardinstellingen,” zeiden de onderzoekers. “Vertrouwen op ‘Standaard door gemak’ -instellingen vormen een aanzienlijk beveiligingsrisico.”
