Pesquisadores da Aqua Security estão chamando atenção urgente para a exposição pública dos segredos de configuração do Kubernetes, alertando que centenas de organizações e projetos de código aberto são vulneráveis a esta “bomba de ataque à cadeia de suprimentos”.
Em um artigo de pesquisa, os pesquisadores da Aqua Yakir Kadkoda e Assaf Morag disseram que encontraram segredos do Kubernetes em repositórios públicos que permitem acesso a ambientes sensíveis no Ciclo de Vida de Desenvolvimento de Software (SDLC) e abrem uma grave ameaça de ataque à cadeia de suprimentos.
“Entre as empresas estavam o sistema de gerenciamento de artefatos da SAP, com mais de 95 milhões de artefatos, duas das principais empresas de blockchain e várias outras empresas da Fortune 500.”
Esses segredos codificados de configuração do Kubernetes foram carregados em repositórios públicos”, alertaram os pesquisadores.
Os segredos do Kubernetes são essenciais para gerenciar dados confidenciais no ambiente de orquestração de contêineres de código aberto. No entanto, estes são frequentemente armazenados sem criptografia no armazenamento de dados subjacente do servidor API, tornando-os vulneráveis a ataques.
A equipe de pesquisa Aqua disse que se concentrou em dois tipos de segredos do Kubernetes – dockercfg e dockerconfigjson — que armazenam credenciais para acessar registros externos e usam a API do GitHub para identificar instâncias em que os segredos do Kubernetes foram carregados inadvertidamente em repositórios públicos.
“Descobrimos centenas de casos em repositórios públicos, o que destacou a gravidade do problema, afetando indivíduos privados, projetos de código aberto e grandes organizações”, disse a equipe.
“Realizamos uma pesquisa usando a API do GitHub para recuperar todas as entradas contendo .dockerconfigjson e .dockercfg. A consulta inicial gerou mais de 8.000 resultados, o que nos levou a refinar nossa pesquisa para incluir apenas os registros que continham valores de usuário e senha codificados em base64. Esse refinamento nos levou a 438 registros que potencialmente continham credenciais válidas para registros.
Destes, 203 registros, aproximadamente 46%, continham credenciais válidas que davam acesso aos respectivos registros. Na maioria dos casos, essas credenciais permitiam privilégios de pull e push. Ademais, frequentemente descobrimos imagens de contêineres privados na maioria desses registros. Informamos as partes interessadas relevantes sobre os segredos expostos e as medidas que deveriam tomar para remediar o risco.”
A equipe Aqua disse ter descoberto que muitos profissionais às vezes negligenciam a remoção de segredos dos arquivos que enviam para repositórios públicos no GitHub, deixando informações confidenciais expostas.
“[They are] apenas um único comando de decodificação base64 de ser revelado como segredos de texto simples”, alertaram os pesquisadores.
Num caso, a equipa disse ter descoberto credenciais válidas para o repositório de artefactos do SAP SE que forneciam acesso a mais de 95 milhões de artefactos, juntamente com permissões para download e operações limitadas de implementação.
“A exposição desta chave do repositório de artefatos representou um risco de segurança considerável. As potenciais ameaças decorrentes de tal acesso incluíam a fuga de código proprietário, violações de dados e o risco de ataques à cadeia de abastecimento, todos os quais poderiam comprometer a integridade da organização e a segurança dos seus clientes”, afirmou a empresa.
Aqua disse que também encontrou segredos nos registros de duas empresas de blockchain de primeira linha e credenciais válidas de hub Docker associadas a 2.948 imagens de contêineres exclusivas.