Investigadores descobrem exposição perigosa de dados confidenciais do Kubernetes

Os investigadores da Aqua Security alertaram para a exposição pública de informação sensível de configuração do Kubernetes. Centenas de organizações e projetos de código aberto estão vulneráveis a esta “bomba de ataque à cadeia de abastecimento”, advertem.

Num artigo publicado pela Aqua, os investigadores Yakir Kadkoda e Assaf Morag revelaram a descoberta de informação confidencial do Kubernetes em repositórios públicos que permitem acesso a ambientes sensíveis no Ciclo de Vida de Desenvolvimento de Software (SDLC), o que representa um grave risco de ataque à cadeia de abastecimento.

“Entre as empresas estavam o sistema de gestão de artefactos da SAP com mais de 95 milhões de artefactos, duas das principais empresas de blockchain e várias outras empresas da Fortune 500”, afirmam os investigadores da Aqua. “Esses segredos codificados de configuração do Kubernetes foram carregados em repositórios públicos”.

Os segredos do Kubernetes desempenham um papel essencial para a gestão de dados confidenciais no ambiente de orquestração de containers de código aberto. No entanto, o facto de serem frequentemente armazenados sem criptografia no datastore subjacente ao servidor API torna-os vulneráveis a ciberataques.

Os investigadores da Aqua afirmam que se concentraram em dois tipos de segredos do Kubernetes – dockercfg e dockerconfigjson – que que armazenam credenciais para aceder a registos externos. Através da API do GitHub, a equipa identificou os momentos em que estas informações confidenciais foram carregadas inadvertidamente em repositórios públicos.

“Descobrimos centenas de casos em repositórios públicos, o que destacou a gravidade do problema, afetando indivíduos privados, projetos de código aberto e grandes organizações”, sublinha a equipa de investigação.

“A consulta inicial gerou mais de 8.000 resultados, o que nos levou a refinar a nossa investigação para incluir apenas os registos que continham valores de utilizados e senha codificados em base64. Esse refinamento levou-nos a 438 registos que potencialmente continham credenciais válidas para registos”, escreveram os investigadores no artigo.

O artigo de investigação acrescenta: “destes, 203 registos, aproximadamente 46%, continham credenciais válidas que davam acesso aos respetivos registos. Na maioria dos casos, essas credenciais permitiam privilégios de pull e push. Além disso, frequentemente descobrimos imagens de containers privados na maioria desses registos. Informámos as partes interessadas relevantes sobre os segredos expostos e as medidas que deveriam tomar para remediar o risco”.

Muitos profissionais por vezes negligenciam a remoção de segredos dos ficheiros que enviam para repositórios públicos no GitHub, descobriu a Aqua, o que resulta na exposição de informações confidenciais.

Num caso, os investigadores encontraram credenciais válidas para o repositório de artefactos do SAP SE que forneciam acesso a mais de 95 milhões de artefactos, a par com permissões para download e operações limitadas de implementação.

“A exposição desta chave do repositório de artefactos representou um risco de segurança considerável”, afirma a empresa. “As potenciais ameaças decorrentes de tal acesso incluíam a fuga de código proprietário, violações de dados e o risco de ataques à cadeia de abastecimento, todos os quais poderiam comprometer a integridade da organização e a segurança dos seus clientes”.