Microsoft alerta que Charts Helm padrão podem expor aplicações Kubernetes a vazamentos de dados

A Microsoft emitiu um alerta sobre o uso de templates pré-fabricados, como os charts Helm padrão, durante implementações Kubernetes. Segundo a gigante da tecnologia, essa prática pode inadvertidamente abrir portas para configurações incorretas e, consequentemente, vazar dados valiosos.

"Embora essas opções 'plug-and-play' simplifiquem enormemente o processo de configuração, elas frequentemente priorizam a facilidade de uso em detrimento da segurança," alertaram Michael Katchinskiy e Yossi Weizman da equipe de pesquisa do Microsoft Defender for Cloud. "Como resultado, um grande número de aplicações acaba sendo implementado em um estado de má configuração por padrão, expondo dados sensíveis, recursos de nuvem ou até mesmo todo o ambiente a invasores."

O Helm é um gerenciador de pacotes para Kubernetes que permite aos desenvolvedores empacotar, configurar e implantar aplicações e serviços em clusters Kubernetes. Ele faz parte da Cloud Native Computing Foundation (CNCF). Os pacotes de aplicações Kubernetes são estruturados no formato de empacotamento Helm, chamados de charts, que consistem em manifestos YAML e templates usados para descrever os recursos e configurações Kubernetes necessários para implantar a aplicação.

A Microsoft destacou que projetos de código aberto frequentemente incluem manifestos padrão ou charts Helm predefinidos que priorizam a facilidade de uso em detrimento da segurança, levando particularmente a duas grandes preocupações: a exposição de serviços externamente sem restrições de rede adequadas e a falta de autenticação ou autorização integrada adequada por padrão.

Consequentemente, organizações que utilizam esses projetos sem revisar cuidadosamente os manifestos YAML e os charts Helm podem acabar expondo inadvertidamente suas aplicações a hackers. Isso pode ter sérias consequências quando a aplicação implantada facilita a consulta de APIs sensíveis ou permite ações administrativas.

Alguns dos projetos identificados que podem colocar ambientes Kubernetes em risco de ataques incluem:

• Apache Pinot: Expõe os principais componentes do datastore OLAP, pinot-controller e pinot-broker, à internet através de serviços Kubernetes LoadBalancer sem qualquer autenticação por padrão.

• Meshery: Expõe a interface do aplicativo através de um endereço IP externo, permitindo que qualquer pessoa com acesso ao IP se registre com um novo usuário, obtenha acesso à interface e implante novos pods, resultando em execução arbitrária de código.

• Selenium Grid: Expõe um serviço NodePort em uma porta específica em todos os nós de um cluster Kubernetes, tornando as regras de firewall externas a única linha de defesa.

Para mitigar os riscos associados a essas configurações incorretas, a Microsoft recomenda revisar e modificar as configurações de acordo com as melhores práticas de segurança, escanear periodicamente as interfaces voltadas para o público e monitorar os contêineres em execução em busca de atividades maliciosas e suspeitas. "Muitas explorações de aplicações em contêineres observadas em ataques reais se originam em workloads mal configuradas, frequentemente ao usar configurações padrão," alertaram os pesquisadores. "Confiar em configurações 'padrão por conveniência' representa um risco de segurança significativo."

Via - THN