Fortune 500 Şirketlerinin Kubernetes Sırları Halka Açık Havuzlarda Ortaya Çıktı
Siber güvenlik araştırmacıları, kuruluşları tedarik zinciri saldırıları riskine sokabilecek, kamuya açık Kubernetes yapılandırma sırları konusunda uyarıda bulunuyor.
Aqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, bu haftanın başlarında yayınlanan yeni bir araştırmada, "Bu kodlanmış Kubernetes yapılandırma sırları halka açık depolara yüklendi" dedi.
Bulut güvenlik firmasına göre, etkilenenlerden bazıları arasında en iyi iki blok zinciri şirketi ve diğer çeşitli Fortune-500 şirketleri yer alıyor ve bir kapsayıcı görüntü kayıt defterine erişmek için kimlik bilgilerini depolayan .dockerconfigjson ve .dockercfg türlerini içeren tüm girişleri getirmek için GitHub API'sinden yararlandı.
Kayıt defterleri için potansiyel olarak geçerli kimlik bilgileri barındıran 438 kayıttan 203'ü (yaklaşık %46) ilgili kayıt defterlerine erişim sağlayan geçerli kimlik bilgileri içeriyordu. Şifrelerin doksan üçü, bilgisayar tarafından oluşturulan 345'in aksine, bireyler tarafından manuel olarak belirlendi.
Araştırmacılar, "Çoğu durumda, bu kimlik bilgileri hem çekme hem de itme ayrıcalıklarına izin verdi" dedi. "Ayrıca, bu kayıtların çoğunda sık sık özel kapsayıcı görüntüleri keşfettik."
Ayrıca, 93 şifrenin yaklaşık %50'si zayıf kabul edildi. Bu, diğerlerinin yanı sıra parola, test123456, windows12, ChangeMe ve dockerhub'dan oluşuyordu.
Araştırmacılar, "Bu, bu tür savunmasız parolaların kullanımını önlemek için katı parola oluşturma kurallarını uygulayan kurumsal parola politikalarına duyulan kritik ihtiyacın altını çiziyor" diye ekledi.
Aqua, kuruluşların GitHub'daki halka açık depolara taahhüt edilen dosyalardan sırları kaldıramadığı ve yanlışlıkla açığa çıkmasına neden olduğu durumlar da bulduğunu söyledi.
Ancak olumlu bir kayda göre, AWS ve Google Container Registry (GCR) ile ilişkili tüm kimlik bilgilerinin geçici olduğu ve süresinin dolduğu tespit edildi, bu da erişimi imkansız hale getirdi. Benzer bir şekilde, GitHub Container Registry, yetkisiz erişime karşı ek bir katman olarak iki faktörlü kimlik doğrulama (2FA) gerektiriyordu.
Araştırmacılar, "Bazı durumlarda, anahtarlar şifrelendi ve bu nedenle anahtarla hiçbir ilgisi yoktu" dedi. "Bazı durumlarda, anahtar geçerli olsa da, genellikle yalnızca belirli bir yapıyı veya görüntüyü çekmek veya indirmek için minimum ayrıcalıklara sahipti."
Red Hat'in bu yılın başlarında yayınladığı Kubernetes Güvenlik Durumu Raporu'na göre, güvenlik açıkları ve yanlış yapılandırmalar, konteyner ortamlarıyla ilgili en önemli güvenlik endişeleri olarak ortaya çıktı ve toplam 600 katılımcının %37'si bir konteyner ve Kubernetes güvenlik olayının bir sonucu olarak gelir/müşteri kaybını tanımladı.
Benzer Haberler
Penn State, Savunma Bakanlığı ve NASA Siber Güvenlik Gereksinimlerine Uyulmaması Üzerine 1.25 Milyon Dolara Razı Oldu
Landmark Admin, 800.000 Kişiyi Etkileyen Veri İhlalini Açıkladı
Change Healthcare fidye yazılımı saldırısı 100 milyon kişiyi etkiliyor
SEC, Yanıltıcı SolarWinds Siber Saldırı Açıklamaları Nedeniyle 4 Şirketi Suçladı
İrlandalı gözlemci, GDPR ihlalleri nedeniyle LinkedIn'e 310 milyon Euro rekor para cezası verdi
Crypt Ghouls, LockBit 3.0 ve Babuk Fidye Yazılımı Saldırılarıyla Rus Firmalarını Hedef Alıyor
AB Mahkemesi, Meta'nın Kişisel Facebook Verilerini Hedefli Reklamlar İçin Kullanmasını Sınırladı
ABD, Büyük Dezenformasyon Baskısında 32 Rus Yanlısı Propaganda Alanını Ele Geçirdi