Статьи

Секреты Kubernetes компаний из списка Fortune 500 раскрыты в публичных репозиториях

Блог команды NeoCAT (решение, которое анализирует риски безопасности и уязвимости облачных ресурсов).

Исследователи безопасности компании Aqua предупреждают об открытых секретах в конфигурации Kubernetes, которые при загрузке в публичный репозиторий подвергают компании риску атак на цепочки поставок.

По данным компании, занимающейся облачной безопасностью, в число пострадавших входят две ведущие блокчейн-компании, а также другие компании из списка Fortune 500, которые использовали API GitHub для получения .dockerconfigjson и .dockercfg, где хранятся учетные данные для доступа к реестру образов контейнеров.

Из 438 записей, потенциально содержащих действительные учетные данные для реестров, 203 записи (около 46%) содержали действительные учетные данные к соответствующим реестрам образов контейнеров. Девяносто три пароля были установлены отдельными людьми вручную, в отличие от 345 паролей, сгенерированных компьютером.

«В большинстве случаев эти учетные данные позволяли как получать, так и назначать привилегии. Более того, в большинстве этих реестров мы обнаружили частные образы контейнеров», — отмечают исследователи.

Почти 50% из 93 паролей были признаны слабыми. Например, такие пароли, как test123456, windows12, ChangeMe и dockerhub.

«Это подчеркивает острую необходимость в организации политики управления паролями, которая должна обеспечивать соблюдение строгих правил их создания, чтобы предотвратить подобные угрозы и инциденты», — добавляют исследователи.

Согласно отчету Red Hat о состоянии безопасности Kubernetes , опубликованному ранее в этом году, уязвимости и неправильные настройки стали основными проблемами безопасности в контейнерных средах: 37% из 600 респондентов указали на потерю доходов/клиентов в результате инцидента с безопасностью контейнеров и Kubernetes.


Присоединяйтесь к сообществу облачной безопасности:
VK | Telegram