Fortune 500 Şirketlerinin Kubernetes Sırları Halka Açık Havuzlarda Ortaya Çıktı

Aqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, bu haftanın başlarında yayınlanan yeni bir araştırmada, "Bu kodlanmış Kubernetes yapılandırma sırları halka açık depolara yüklendi" dedi.

Bulut güvenlik firmasına göre, etkilenenlerden bazıları arasında en iyi iki blok zinciri şirketi ve diğer çeşitli Fortune-500 şirketleri yer alıyor ve bir kapsayıcı görüntü kayıt defterine erişmek için kimlik bilgilerini depolayan .dockerconfigjson ve .dockercfg türlerini içeren tüm girişleri getirmek için GitHub API'sinden yararlandı.

Kayıt defterleri için potansiyel olarak geçerli kimlik bilgileri barındıran 438 kayıttan 203'ü (yaklaşık %46) ilgili kayıt defterlerine erişim sağlayan geçerli kimlik bilgileri içeriyordu. Şifrelerin doksan üçü, bilgisayar tarafından oluşturulan 345'in aksine, bireyler tarafından manuel olarak belirlendi.

Araştırmacılar, "Çoğu durumda, bu kimlik bilgileri hem çekme hem de itme ayrıcalıklarına izin verdi" dedi. "Ayrıca, bu kayıtların çoğunda sık sık özel kapsayıcı görüntüleri keşfettik."

Ayrıca, 93 şifrenin yaklaşık %50'si zayıf kabul edildi. Bu, diğerlerinin yanı sıra parola, test123456, windows12, ChangeMe ve dockerhub'dan oluşuyordu.

Araştırmacılar, "Bu, bu tür savunmasız parolaların kullanımını önlemek için katı parola oluşturma kurallarını uygulayan kurumsal parola politikalarına duyulan kritik ihtiyacın altını çiziyor" diye ekledi.

Aqua, kuruluşların GitHub'daki halka açık depolara taahhüt edilen dosyalardan sırları kaldıramadığı ve yanlışlıkla açığa çıkmasına neden olduğu durumlar da bulduğunu söyledi.

Ancak olumlu bir kayda göre, AWS ve Google Container Registry (GCR) ile ilişkili tüm kimlik bilgilerinin geçici olduğu ve süresinin dolduğu tespit edildi, bu da erişimi imkansız hale getirdi. Benzer bir şekilde, GitHub Container Registry, yetkisiz erişime karşı ek bir katman olarak iki faktörlü kimlik doğrulama (2FA) gerektiriyordu.

Araştırmacılar, "Bazı durumlarda, anahtarlar şifrelendi ve bu nedenle anahtarla hiçbir ilgisi yoktu" dedi. "Bazı durumlarda, anahtar geçerli olsa da, genellikle yalnızca belirli bir yapıyı veya görüntüyü çekmek veya indirmek için minimum ayrıcalıklara sahipti."

Red Hat'in bu yılın başlarında yayınladığı Kubernetes Güvenlik Durumu Raporu'na göre, güvenlik açıkları ve yanlış yapılandırmalar, konteyner ortamlarıyla ilgili en önemli güvenlik endişeleri olarak ortaya çıktı ve toplam 600 katılımcının %37'si bir konteyner ve Kubernetes güvenlik olayının bir sonucu olarak gelir/müşteri kaybını tanımladı.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği