Segredos do Kubernetes de Empresas da Fortune 500 Expostos em Repositórios Públicos
24 de Novembro de 2023

Pesquisadores de segurança cibernética estão alertando sobre segredos de configuração do Kubernetes expostos publicamente que poderiam colocar as organizações em risco de ataques à cadeia de suprimentos.

"Esses segredos de configuração do Kubernetes codificados foram enviados para repositórios públicos", disseram os pesquisadores de segurança da Aqua, Yakir Kadkoda e Assaf Morag, em uma nova pesquisa publicada no início desta semana.

Alguns dos impactados incluem duas das principais empresas de blockchain e várias outras empresas da Fortune 500, de acordo com a empresa de segurança em nuvem, que utilizou a API do GitHub para buscar todas as entradas contendo .dockerconfigjson e .dockercfg, que armazenam credenciais para o acesso a um registro de imagem de contêiner.

Dos 438 registros que potencialmente continham credenciais válidas para os registros, 203 registros - cerca de 46% - continham credenciais válidas que forneciam acesso aos respectivos registros.

Noventa e três das senhas foram definidas manualmente por indivíduos, em oposição às 345 que foram geradas por computador.

"Na maioria dos casos, essas credenciais permitiam tanto puxar quanto empurrar privilégios", observaram os pesquisadores.

"Além disso, muitas vezes descobrimos imagens de contêineres privadas na maioria desses registros."

Além disso, quase 50% das 93 senhas foram consideradas fracas.

Isso incluía senha, test123456, windows12, ChangeMe e dockerhub, entre outras.

"Isso ressalta a necessidade crítica de políticas de senha organizacional que impõem regras rigorosas de criação de senha para evitar o uso de tais senhas vulneráveis", acrescentaram os pesquisadores.

Aqua disse que também encontrou casos em que as organizações não removem os segredos dos arquivos que são enviados para repositórios públicos no GitHub, levando a exposições inadvertidas.

Mas, em uma nota positiva, todas as credenciais associadas à AWS e ao Google Container Registry (GCR) foram encontradas como temporárias e expiradas, tornando o acesso impossível.

De forma semelhante, o GitHub Container Registry exigiu autenticação de dois fatores (2FA) como uma camada adicional contra o acesso não autorizado.

"Em alguns casos, as chaves foram criptografadas e, portanto, não havia nada a fazer com a chave", disseram os pesquisadores.

"Em alguns casos, enquanto a chave era válida, tinha privilégios mínimos, muitas vezes apenas para extrair ou baixar um artefato ou imagem específicos."

De acordo com o relatório sobre o Estado da Segurança do Kubernetes da Red Hat, lançado no início deste ano, vulnerabilidades e configurações incorretas surgiram como as principais preocupações de segurança com ambientes de contêineres, com 37% dos 600 entrevistados totais identificando perda de receita/cliente como resultado de um incidente de segurança do contêiner e Kubernetes.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...