Aqua 研究團(tuán)隊(duì)在一篇研究論文中表示,他們?cè)诠泊鎯?chǔ)庫中發(fā)現(xiàn)了 Kube.NETes 機(jī)密(secret),這些機(jī)密允許訪問軟件開發(fā)生命周期 (SDLC) 中的敏感環(huán)境,并引發(fā)嚴(yán)重的供應(yīng)鏈攻擊威脅。
研究團(tuán)隊(duì)警告稱,涉及的公司包括SAP的Artifacts管理系統(tǒng),擁有超過9500萬個(gè)工件,還有兩家頂級(jí)區(qū)塊鏈公司和其他一些財(cái)富500強(qiáng)公司。這些編碼的Kubernetes配置機(jī)密被上傳到了公共代碼庫中。
Kubernetes機(jī)密對(duì)于在開源容器編排環(huán)境中管理敏感數(shù)據(jù)至關(guān)重要。然而,這些機(jī)密通常以未加密的形式存儲(chǔ)在API服務(wù)器的底層數(shù)據(jù)存儲(chǔ)中,使其容易受到攻擊。
Aqua團(tuán)隊(duì)表示,他們專注于兩種類型的Kubernetes機(jī)密,即Dockercfg和dockerconfigjson,這些機(jī)密存儲(chǔ)了訪問外部注冊(cè)表的憑證,并使用Github的API來識(shí)別意外上傳到公共代碼庫中的Kubernetes機(jī)密實(shí)例。目前,他們發(fā)現(xiàn)了數(shù)百個(gè)公共代碼庫中的實(shí)例,影響范圍涉及個(gè)人、開源項(xiàng)目和大型組織。
Aqua研究團(tuán)隊(duì)使用GitHub的API進(jìn)行搜索,以檢索包含.dockerconfigjson和.dockercfg的所有條目。初始查詢結(jié)果超過8000個(gè),在進(jìn)一步的細(xì)化搜索——僅包括那些包含以base64編碼的用戶名和密碼值的記錄后,找到了438個(gè)可能包含有效憑證的記錄。其中203個(gè)記錄包含了提供對(duì)相應(yīng)注冊(cè)表訪問權(quán)限的有效憑證。在大多數(shù)情況下,這些憑證允許拉取和推送權(quán)限。
此外,Aqua團(tuán)隊(duì)發(fā)現(xiàn)在這些注冊(cè)表中經(jīng)常存在私有容器映像。并通知了相關(guān)組織有關(guān)暴露的機(jī)密和他們應(yīng)采取的措施。
Aqua團(tuán)隊(duì)表示,他們發(fā)現(xiàn)許多從業(yè)者有時(shí)會(huì)忽略從他們提交到GitHub公共代碼庫的文件中刪除機(jī)密,從而暴露敏感信息。“這些機(jī)密只需要一個(gè)base64解碼命令就可以以明文形式顯示出來,”研究人員警告稱。
在涉及暴露9500萬個(gè)工件的Artifacts倉庫中,Aqua表示,此Artifacts倉庫密鑰的暴露代表了重大的安全風(fēng)險(xiǎn)。由此訪問可能帶來的潛在威脅包括專有代碼泄露、數(shù)據(jù)泄露和供應(yīng)鏈攻擊的風(fēng)險(xiǎn),所有這些都可能損害組織的完整性和客戶的安全。
