Les entreprises du Fortune 500 exposées aux risques d’attaques de la chaîne d’approvisionnement via Kubernetes

« Ces secrets de configuration Kubernetes codés ont été téléchargés sur des dépôts publics », ont déclaré Yakir Kadkoda et Assaf Morag, chercheurs en sécurité chez Aqua, dans une nouvelle recherche publiée en début de semaine.

Parmi les entreprises touchées figurent deux grandes sociétés de blockchain et diverses autres sociétés Fortune 500, selon l’entreprise de sécurité cloud, qui a exploité l’API GitHub pour récupérer toutes les entrées contenant les types .dockerconfigjson et .dockercfg qui stockent les informations d’identification pour accéder à un registre d’images de conteneurs.

Sur les 438 enregistrements qui contenaient potentiellement des informations d’identification valides pour les registres, 203 enregistrements, soit environ 46 %, contenaient des informations d’identification valides qui permettaient d’accéder aux registres respectifs. Quatre-vingt-treize des mots de passe ont été définis manuellement par des personnes, alors que 345 ont été générés par ordinateur.

« Dans la majorité des cas, ces identifiants permettaient à la fois d’obtenir des privilèges d’extraction et de poussée », notent les chercheurs. « En outre, nous avons souvent découvert des images de conteneurs privés dans la plupart de ces registres.

En outre, près de 50 % des 93 mots de passe ont été jugés faibles. Il s’agit notamment de password, test123456, windows12, ChangeMe et dockerhub.

« Cela souligne le besoin critique de politiques de mots de passe organisationnelles qui appliquent des règles strictes de création de mots de passe afin d’empêcher l’utilisation de mots de passe aussi vulnérables », ont ajouté les chercheurs.
Aqua a également découvert des cas où les organisations ne parviennent pas à supprimer les secrets des fichiers qui sont déposés dans des dépôts publics sur GitHub, ce qui conduit à une exposition involontaire.

Sur une note positive, tous les identifiants associés à AWS et Google Container Registry (GCR) se sont avérés temporaires et expirés, ce qui rend l’accès impossible. Dans le même ordre d’idées, le GitHub Container Registry a exigé une authentification à deux facteurs (2FA) afin d’éviter tout accès non autorisé.

« Dans certains cas, les clés étaient cryptées et il n’y avait donc rien à faire avec la clé », ont déclaré les chercheurs. « Dans certains cas, alors que la clé était valide, elle avait des privilèges minimes, souvent juste pour extraire ou télécharger un artefact ou une image spécifique. »

Selon le rapport Stateof Kubernetes Security Report de Red Hat publié au début de l’année, les vulnérabilités et les mauvaises configurations sont devenues les principales préoccupations en matière de sécurité dans les environnements de conteneurs, 37 % des 600 personnes interrogées ayant indiqué que la perte de revenus ou de clients était le résultat d’un incident de sécurité lié à un conteneur ou à Kubernetes.