领先的网络安全专家对公开的 Kubernetes 配置表示担忧,这可能会威胁许多组织供应链的安全。
受影响的公司包括两家主要的区块链公司(出于安全原因,其名称已被隐去)以及其他多家财富 500 强公司。
Aqua Security 研究人员报告称,加密的 Kubernetes 配置数据已上传到公共存储库。
机密数据是使用 GitHub API 获取的,其中记录包含与“. dockerconfigjson ”和“.dockercfg “。
这些文件存储用于访问容器的映像注册表的凭据。
分析显示,在438 条可能包含有效注册凭据的记录中,203 条记录(约占 46%)实际上包含提供对这些记录的访问权限的有效数据。
研究人员指出,在大多数情况下,这些凭据允许下载和上传信息。
在评估所使用凭据的可靠性时,专家们发现438 个密码中有 93 个是手动设置的,而 345 个是由计算机生成的。
然而,这93个密码中有近50%是弱密码,包括:password、test123456、windows12、ChangeMe、dockerhub 等。
研究人员的数据凸显了通过要求员工使用更严格的规则来创建密码来加强组织中的安全策略的迫切需要。
Aqua 还注意到,组织不小心将密码留在了发布到 GitHub 公共存储库的文件中,从而导致信息意外泄露。
此外,一些密钥被进一步加密,使其无法使用。
有时,即使密钥有效,它也具有最小的权限,通常只适合加载特定的工件或图像。
Aqua Security 研究人员总结道:潜在的数据泄露、专有代码泄露和供应链攻击强烈提醒我们需要采取强有力的安全措施。
他提醒开发人员使用临时代币、数据加密、最小原则的重要性特权,以及使用双因素身份验证。
专家认为,这些措施足以保护集装箱记录。
根据红帽 4 月份 Kubernetes 安全状况报告 ,漏洞和错误配置是容器环境中最大的安全挑战。
在接受调查的 600 名参与者中,有 37% 的人表示由于与容器和 Kubernetes 相关的安全事件而导致收入或客户损失。