Microsoft ha advertido que el uso de plantillas prefabricadas, como los gráficos de timón listos para usar, durante las implementaciones de Kubernetes podría abrir la puerta a configuraciones erróneas y filtrar datos valiosos.
«Si bien estas opciones de ‘plug-and-play’ simplifican en gran medida el proceso de configuración, a menudo priorizan la facilidad de uso sobre la seguridad», dijeron Michael Katchinskiy y Yossi Weizman del Equipo de Investigación en la Nube de Microsoft para el Equipo de Investigación en la Nube.
«Como resultado, una gran cantidad de aplicaciones terminan siendo implementadas en un estado mal configurado por defecto, exponiendo datos confidenciales, recursos en la nube o incluso todo el entorno a los atacantes».
Helm es un administrador de paquetes para Kubernetes que permite a los desarrolladores empaquetar, configurar e implementar aplicaciones y servicios en clústeres de Kubernetes. Es parte de la Cloud Native Computing Foundation (CNCF).
Los paquetes de aplicación de Kubernetes están estructurados en el formato de embalaje de timón llamado gráficos, que son manifestaciones y plantillas YAML utilizadas para describir los recursos y configuraciones de Kubernetes necesarios para implementar la aplicación.
Microsoft señaló que los proyectos de código abierto a menudo incluyen manifestaciones predeterminadas o gráficos de timón predefinidos que priorizan la facilidad de uso sobre la seguridad, particularmente a dos preocupaciones importantes,
Exponer los servicios externamente sin restricciones de red adecuadas
Falta de autenticación o autorización incorporada adecuada por defecto
Como resultado, las organizaciones que usan estos proyectos sin revisar los manifiestos YAML y los gráficos de timón pueden terminar exponiendo inadvertidamente sus aplicaciones a los atacantes. Esto puede tener graves consecuencias cuando la aplicación implementada facilita la consulta de API sensibles o permite acciones administrativas.
Algunos de los proyectos identificados que podrían poner los entornos de Kubernetes en riesgo de ataques son los siguientes.
- Apache Pinot, que expone los componentes principales del almacén de datos OLAP, Pinot-Controller y Pinot-Broker, a Internet a través de Kubernetes LoadBalancer Services sin ninguna autenticación de forma predeterminada
- Meshery, que expone la interfaz de la aplicación a través de una dirección IP externa, lo que permite a cualquier persona con acceso a la dirección IP registrarse con un nuevo usuario, obtener acceso a la interfaz e implementar nuevos pods, lo que finalmente resulta en una ejecución de código arbitraria
- Grid de selenio, que expone un servicio nodoPort en un puerto específico en todos los nodos en un clúster de Kubernetes, lo que hace que las reglas de firewall externos sea la única línea de defensa
Para mitigar los riesgos asociados con tales configuraciones erróneas, se recomienda revisarlos y modificarlos de acuerdo con las mejores prácticas de seguridad, escanear periódicamente las interfaces y monitorear los contenedores en funcionamiento para actividades maliciosas y sospechosas.
«Muchas explotaciones en el flujo de aplicaciones contenedores se originan en cargas de trabajo mal configuradas, a menudo cuando se utilizan la configuración predeterminada», dijeron los investigadores. «Confiar en las configuraciones ‘predeterminadas por conveniencia’ representan un riesgo de seguridad significativo».