Η Microsoft προειδοποιεί για τους κινδύνους ασφαλείας που προκύπτουν από τις προεπιλεγμένες ρυθμίσεις σε υλοποιήσεις Kubernetes, ιδίως όταν χρησιμοποιούνται έτοιμα Helm charts, τα οποία ενδέχεται να εκθέσουν ευαίσθητα δεδομένα δημόσια.
Δείτε επίσης: Παραβιάσεις λογαριασμών λόγω αδύναμων passwords – Μεταβείτε σε passkeys
Σε πολλές περιπτώσεις, τα συγκεκριμένα Helm charts δεν απαιτούσαν καθόλου ταυτοποίηση, άφηναν ευάλωτες θύρες ανοιχτές και χρησιμοποιούσαν αδύναμους ή ενσωματωμένους κωδικούς πρόσβασης που ήταν εύκολο να παραβιαστούν.
Μια αναφορά από τους ερευνητές ασφαλείας Michael Katchinskiy και Yossi Weizman της ομάδας Microsoft Defender for Cloud Research παρουσιάζει τρία παραδείγματα, τα οποία αναδεικνύουν ένα γενικότερο πρόβλημα ασφαλείας που θέτει σε κίνδυνο τα Kubernetes workloads.
Το Kubernetes είναι μια ευρέως χρησιμοποιούμενη πλατφόρμα ανοιχτού κώδικα, σχεδιασμένη για την αυτοματοποίηση της ανάπτυξης, της κλιμάκωσης και της διαχείρισης εφαρμογών σε κοντέινερ. Το Helm λειτουργεί ως διαχειριστής πακέτων για το Kubernetes, ενώ τα charts είναι πρότυπα/καλούπια για την ανάπτυξη εφαρμογών στην πλατφόρμα, παρέχοντας αρχεία YAML που ορίζουν τους βασικούς πόρους που απαιτούνται για τη λειτουργία μιας εφαρμογής.
Τα Helm charts είναι ιδιαίτερα δημοφιλή επειδή απλοποιούν και επιταχύνουν πολύπλοκες διαδικασίες ανάπτυξης. Ωστόσο, όπως επισημαίνεται στην αναφορά της Microsoft, σε πολλές περιπτώσεις οι προεπιλεγμένες ρυθμίσεις αυτών των charts δεν περιλαμβάνουν επαρκή μέτρα ασφαλείας.
Χρήστες χωρίς εμπειρία στην ασφάλεια περιβάλλοντος cloud, συχνά αναπτύσσουν αυτά τα Helm charts χωρίς αλλαγές, εκθέτοντας κατά λάθος υπηρεσίες στο διαδίκτυο και επιτρέποντας σε επιτιθέμενους να εντοπίσουν και να εκμεταλλευτούν λανθασμένες ρυθμίσεις εφαρμογών.
Δείτε ακόμα: Το Microsoft Exchange Online επισημαίνει email του Gmail ως spam
Οι ερευνητές επισημαίνουν τρία χαρακτηριστικά παραδείγματα Helm charts που εκθέτουν περιβάλλοντα Kubernetes σε κινδύνους από επιθέσεις, συνοψίζοντας τα εξής:
- Apache Pinot: Εκθέτει βασικές υπηρεσίες (pinot-controller και pinot-broker) μέσω υπηρεσιών τύπου LoadBalancer στο Kubernetes, χωρίς να απαιτείται καμία μορφή ταυτοποίησης.
- Meshery: Επιτρέπει τη δημόσια εγγραφή χρηστών από εκτεθειμένη IP, δίνοντας τη δυνατότητα σε οποιονδήποτε να εγγραφεί και να αποκτήσει πρόσβαση σε λειτουργίες του cluster.
- Selenium Grid: Ένα NodePort εκθέτει την υπηρεσία σε όλους τους κόμβους του cluster, βασιζόμενο αποκλειστικά σε εξωτερικούς κανόνες firewall για προστασία. Το πρόβλημα δεν αφορά το επίσημο Helm chart, αλλά πολλές ευρέως χρησιμοποιούμενες υλοποιήσεις που φιλοξενούνται στο GitHub.
Όσον αφορά το Selenium Grid, εταιρείες κυβερνοασφάλειας όπως η Wiz έχουν παρατηρήσει στο παρελθόν επιθέσεις που στόχευαν λανθασμένα διαμορφωμένες υλοποιήσεις, με σκοπό την εγκατάσταση XMRig miners για την εξόρυξη του κρυπτονομίσματος Monero.
Για τον περιορισμό των κινδύνων, η Microsoft συνιστά να γίνεται προσεκτική ανασκόπηση της προεπιλεγμένης ρύθμισης των Helm charts, με έμφαση στη διασφάλιση ύπαρξης μηχανισμών ταυτοποίησης και απομόνωσης δικτύου. Επιπλέον, προτείνεται η τακτική διενέργεια ελέγχων για λανθασμένες ρυθμίσεις που εκθέτουν δημόσια διεπαφές των workloads, καθώς και η στενή παρακολούθηση των κοντέινερ για ύποπτη δραστηριότητα.
Δείτε επίσης: Microsoft: Passkeys από προεπιλογή για νέους λογαριασμούς
Ένα σημαντικό στοιχείο που σχετίζεται με τα παραπάνω είναι το γεγονός ότι η ευκολία που προσφέρουν τα Helm charts συχνά οδηγεί σε παραμέληση της ασφάλειας, ειδικά από χρήστες ή ομάδες που εστιάζουν κυρίως στη γρήγορη ανάπτυξη εφαρμογών. Πολλές φορές, η χρήση “έτοιμων” charts χωρίς έλεγχο ή τροποποίηση των παραμέτρων ασφαλείας δημιουργεί ένα εύκολο σημείο εισόδου για τους επιτιθέμενους.
Πηγή: bleepingcomputer
