Microsoft waarschuwt voor de beveiligingsrisico’s van standaardinstellingen bij Kubernetes-implementaties, vooral wanneer gebruik wordt gemaakt van de basisconfiguraties van Helm. Deze kunnen gevoelige gegevens per ongeluk openbaar maken.

Veel van deze Helm-configuraties vereisen geen authenticatie, laten kwetsbare poorten open en gebruiken zwakke of hardcoded wachtwoorden die makkelijk te kraken zijn.

Een rapport van Microsoft Defender for Cloud Research, opgesteld door onderzoekers Michael Katchinskiy en Yossi Weizman, benadrukt drie specifieke gevallen die duidelijk maken hoe dergelijke configuraties Kubernetes-werkbelastingen in gevaar brengen.

Gemak versus beveiliging

Kubernetes is een veelgebruikte open-source platform dat ontworpen is om de uitrol, schaalvergroting en het beheer van containerapplicaties te automatiseren.

Helm fungeert als een pakketbeheerder voor Kubernetes en gebruikt ‘charts’ als sjablonen voor het implementeren van applicaties met behulp van YAML-bestanden die de benodigde middelen voor een app definiëren.

Door de complexiteit en snelheid van implementaties te vereenvoudigen, zijn Helm-charts populair. Maar zoals uit het Microsoft-rapport blijkt, schieten de standaardinstellingen vaak tekort als het gaat om beveiliging.

Mensen met beperkte kennis van cloudbeveiliging voeren vaak deze Helm-charts uit zonder ze aan te passen, waardoor diensten onbedoeld voor het hele internet toegankelijk worden en aanvallers misbruik kunnen maken van verkeerd geconfigureerde applicaties.

"Standaardconfiguraties zonder adequate beveiligingscontroles vormen een groot risico," waarschuwen de onderzoekers van Microsoft.

"Zonder grondige controle van de YAML-manifesten en Helm-charts kunnen bedrijven onbewust diensten implementeren zonder enige vorm van bescherming, waardoor ze volledig openstaan voor aanvallers."

"Dit is extra zorgwekkend wanneer de applicaties gevoelig zijn voor API-aanvragen of administratieve handelingen toestaan."

De onderzoekers noemen drie voorbeelden van kwetsbare Helm-charts:

• Apache Pinot: Biedt kernservices aan zonder enige vorm van authenticatie via de Kubernetes LoadBalancer-services.
• Meshery: Standaardinstellingen staan openbare registratie toe, waardoor iedereen toegang kan krijgen tot clusteroperaties.
• Selenium Grid: Een NodePort maakt de dienst toegankelijk op alle nodes, hierbij alleen vertrouwend op externe firewallregels. Dit probleem komt niet voor in het officiële Helm-chart, maar wel in veel bekende GitHub-projecten.

Wat Selenium Grid betreft, hebben beveiligingsbedrijven zoals Wiz eerder aanvallen waargenomen die misbruik maakten van verkeerde configuraties om XMRig-miners voor cryptovaluta zoals Monero te installeren.

Om de risico’s te beperken, raadt Microsoft aan om de standaardconfiguraties van Helm-charts zorgvuldig te beoordelen vanuit een veiligheidsstandpunt, met name op het gebied van authenticatie en netwerkisolatie.

Ook is regelmatige controle op foute configuraties en oplettendheid voor verdachte activiteiten binnen containers essentieel.

Zo blijven je Kubernetes-implementaties veilig en beschermd tegen de dreigingen van buitenaf.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.