A Microsoft alerta sobre os riscos de segurança apresentados pelas configurações padrão em implantações de Kubernetes, especialmente aquelas que utilizam Helm charts "out-of-the-box", os quais podem expor publicamente dados sensíveis.
Em muitos casos, esses Helm charts não requeriam autenticação, deixavam portas exploráveis abertas e utilizavam senhas fracas ou hardcoded que eram triviais de quebrar.
Um relatório publicado pelos pesquisadores de segurança Michael Katchinskiy e Yossi Weizman, do Microsoft Defender for Cloud Research, destaca três casos como exemplos de um problema de segurança mais amplo que coloca em risco as cargas de trabalho do Kubernetes.
O Kubernetes é uma plataforma de código aberto amplamente utilizada projetada para automatizar a implantação, escalabilidade e gerenciamento de aplicações conteinerizadas.
O Helm é um gerenciador de pacotes para o Kubernetes, e os charts são templates/blueprints para a implantação de apps na plataforma, fornecendo arquivos YAML que definem os recursos chave necessários para rodar um app.
Os Helm charts são populares porque simplificam e aceleram implantações complexas.
No entanto, como destacado no relatório da Microsoft, em muitos casos, as configurações padrão desses charts carecem de medidas de segurança adequadas.
Usuários inexperientes com a segurança na nuvem muitas vezes implantam esses Helm charts como estão, expondo sem intenção serviços à internet e permitindo que atacantes esquadrinhem e explorem aplicações mal configuradas.
"Configurações padrão que carecem de controles de segurança adequados criam uma grave ameaça à segurança", alertam os pesquisadores da Microsoft.
Sem revisar cuidadosamente os manifestos YAML e os Helm charts, as organizações podem inadvertidamente implantar serviços sem qualquer forma de proteção, deixando-os totalmente expostos aos atacantes.
Isto é particularmente preocupante quando a aplicação implantada pode consultar APIs sensíveis ou permitir ações administrativas, o que é exatamente o que veremos em breve.
Os pesquisadores destacam três casos de Helm charts que colocam ambientes Kubernetes em risco de ataques, resumidos da seguinte forma.
- Apache Pinot: Expõe serviços centrais (pinot-controller e pinot-broker) via serviços Kubernetes LoadBalancer sem qualquer autenticação.
- Meshery: Inscrição pública é permitida a partir de IP exposto, permitindo que qualquer um se registre e ganhe acesso às operações do cluster.
- Selenium Grid: Um NodePort expõe o serviço em todos os nós do cluster, dependendo apenas das regras de firewall externo para proteção.
O problema não impacta o Helm chart oficial, mas muitos projetos amplamente referenciados no GitHub.
No que diz respeito ao Selenium Grid, a Wiz e outras empresas de cibersegurança já observaram ataques direcionados a instâncias mal configuradas para implantar mineradores XMRig para minerar a criptomoeda Monero.
Para mitigar os riscos, a Microsoft recomenda revisar cuidadosamente a configuração padrão dos Helm charts para avaliá-la do ponto de vista de segurança, garantindo que inclua autenticação e isolamento de rede.
Além disso, é recomendado realizar varreduras regulares em busca de más configurações que exponham interfaces de cargas de trabalho publicamente e monitorar de perto os contêineres para detectar atividades suspeitas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...