Alerta da Microsoft
6 de Maio de 2025

A Microsoft alerta sobre os riscos de segurança apresentados pelas configurações padrão em implantações de Kubernetes, especialmente aquelas que utilizam Helm charts "out-of-the-box", os quais podem expor publicamente dados sensíveis.

Em muitos casos, esses Helm charts não requeriam autenticação, deixavam portas exploráveis abertas e utilizavam senhas fracas ou hardcoded que eram triviais de quebrar.

Um relatório publicado pelos pesquisadores de segurança Michael Katchinskiy e Yossi Weizman, do Microsoft Defender for Cloud Research, destaca três casos como exemplos de um problema de segurança mais amplo que coloca em risco as cargas de trabalho do Kubernetes.

O Kubernetes é uma plataforma de código aberto amplamente utilizada projetada para automatizar a implantação, escalabilidade e gerenciamento de aplicações conteinerizadas.

O Helm é um gerenciador de pacotes para o Kubernetes, e os charts são templates/blueprints para a implantação de apps na plataforma, fornecendo arquivos YAML que definem os recursos chave necessários para rodar um app.

Os Helm charts são populares porque simplificam e aceleram implantações complexas.

No entanto, como destacado no relatório da Microsoft, em muitos casos, as configurações padrão desses charts carecem de medidas de segurança adequadas.

Usuários inexperientes com a segurança na nuvem muitas vezes implantam esses Helm charts como estão, expondo sem intenção serviços à internet e permitindo que atacantes esquadrinhem e explorem aplicações mal configuradas.

"Configurações padrão que carecem de controles de segurança adequados criam uma grave ameaça à segurança", alertam os pesquisadores da Microsoft.

Sem revisar cuidadosamente os manifestos YAML e os Helm charts, as organizações podem inadvertidamente implantar serviços sem qualquer forma de proteção, deixando-os totalmente expostos aos atacantes.

Isto é particularmente preocupante quando a aplicação implantada pode consultar APIs sensíveis ou permitir ações administrativas, o que é exatamente o que veremos em breve.

Os pesquisadores destacam três casos de Helm charts que colocam ambientes Kubernetes em risco de ataques, resumidos da seguinte forma.

- Apache Pinot: Expõe serviços centrais (pinot-controller e pinot-broker) via serviços Kubernetes LoadBalancer sem qualquer autenticação.
- Meshery: Inscrição pública é permitida a partir de IP exposto, permitindo que qualquer um se registre e ganhe acesso às operações do cluster.
- Selenium Grid: Um NodePort expõe o serviço em todos os nós do cluster, dependendo apenas das regras de firewall externo para proteção.

O problema não impacta o Helm chart oficial, mas muitos projetos amplamente referenciados no GitHub.

No que diz respeito ao Selenium Grid, a Wiz e outras empresas de cibersegurança já observaram ataques direcionados a instâncias mal configuradas para implantar mineradores XMRig para minerar a criptomoeda Monero.

Para mitigar os riscos, a Microsoft recomenda revisar cuidadosamente a configuração padrão dos Helm charts para avaliá-la do ponto de vista de segurança, garantindo que inclua autenticação e isolamento de rede.

Além disso, é recomendado realizar varreduras regulares em busca de más configurações que exponham interfaces de cargas de trabalho publicamente e monitorar de perto os contêineres para detectar atividades suspeitas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...