大量Kubernetes机密暴露,波及多家头部公司

安全
研究团队警告称,涉及的公司包括SAP的Artifacts管理系统,拥有超过9500万个工件,还有两家顶级区块链公司和其他一些财富500强公司。

Aqua 研究团队在一篇研究论文中表示,他们在公共存储库中发现了 Kubernetes 机密(secret),这些机密允许访问软件开发生命周期 (SDLC) 中的敏感环境,并引发严重的供应链攻击威胁。

研究团队警告称,涉及的公司包括SAP的Artifacts管理系统,拥有超过9500万个工件,还有两家顶级区块链公司和其他一些财富500强公司。这些编码的Kubernetes配置机密被上传到了公共代码库中。

Kubernetes机密对于在开源容器编排环境中管理敏感数据至关重要。然而,这些机密通常以未加密的形式存储在API服务器的底层数据存储中,使其容易受到攻击。

Aqua团队表示,他们专注于两种类型的Kubernetes机密,即dockercfg和dockerconfigjson,这些机密存储了访问外部注册表的凭证,并使用GitHub的API来识别意外上传到公共代码库中的Kubernetes机密实例。目前,他们发现了数百个公共代码库中的实例,影响范围涉及个人、开源项目和大型组织。

Aqua研究团队使用GitHub的API进行搜索,以检索包含.dockerconfigjson和.dockercfg的所有条目。初始查询结果超过8000个,在进一步的细化搜索——仅包括那些包含以base64编码的用户名和密码值的记录后,找到了438个可能包含有效凭证的记录。其中203个记录包含了提供对相应注册表访问权限的有效凭证。在大多数情况下,这些凭证允许拉取和推送权限。

此外,Aqua团队发现在这些注册表中经常存在私有容器映像。并通知了相关组织有关暴露的机密和他们应采取的措施。

Aqua团队表示,他们发现许多从业者有时会忽略从他们提交到GitHub公共代码库的文件中删除机密,从而暴露敏感信息。“这些机密只需要一个base64解码命令就可以以明文形式显示出来,”研究人员警告称。

在涉及暴露9500万个工件的Artifacts仓库中,Aqua表示,此Artifacts仓库密钥的暴露代表了重大的安全风险。由此访问可能带来的潜在威胁包括专有代码泄露、数据泄露和供应链攻击的风险,所有这些都可能损害组织的完整性和客户的安全。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-12-30 21:37:41

数据泄露网络攻击勒索软件

2021-05-24 12:07:44

黑客数据泄露网络攻击

2023-11-23 15:12:19

2011-07-27 14:14:13

2021-08-08 11:05:48

Kubernetes加密容器

2020-12-22 10:50:01

黑客勒索软件攻击

2021-08-29 07:27:49

漏洞微软网络攻击

2016-03-02 11:49:27

2022-07-07 10:47:16

IngressKubernetes

2022-06-27 19:16:12

KubernetesK8s 集群

2023-11-27 16:38:01

2021-09-26 09:31:12

机密计算数据安全加密

2022-07-05 08:10:25

Kubernetes云原生

2010-03-05 14:18:53

2014-06-20 14:47:08

2019-03-20 08:37:28

Facebook数据

2022-09-22 12:11:38

PodKubernetes

2015-10-13 10:42:33

2009-02-09 09:19:30

点赞
收藏

51CTO技术栈公众号