Fortune 500 Şirketinin Kubernetes Sırları Kamuya Açık Depolarda Ortaya Çıktı - Dünyadan Güncel Teknoloji Haberleri

Fortune 500 Şirketinin Kubernetes Sırları Kamuya Açık Depolarda Ortaya Çıktı - Dünyadan Güncel Teknoloji Haberleri

Ancak olumlu bir gelişme olarak, AWS ve Google Container Registry (GCR) ile ilişkili tüm kimlik bilgilerinin geçici olduğu ve süresinin dolduğu, bu nedenle erişimin imkansız hale geldiği belirlendi

Araştırmacılar, “Bazı durumlarda anahtarlar şifrelenmişti ve dolayısıyla anahtarla hiçbir ilgisi yoktu” dedi ”

Red Hat’in haberine göre Kubernetes Güvenlik Durumu Raporu Bu yılın başında yayımlanan raporda, güvenlik açıkları ve yanlış yapılandırmalar, konteyner ortamlarında en önemli güvenlik sorunları olarak ortaya çıktı; toplam 600 katılımcının %37’si, bir konteyner ve Kubernetes güvenlik olayının bir sonucu olarak gelir/müşteri kaybını tanımladı

Aqua güvenlik araştırmacıları Yakir Kadkoda ve Assaf Morag, “Bu kodlanmış Kubernetes yapılandırma sırları halka açık depolara yüklendi kimlik bilgilerini depola bir kapsayıcı görüntü kaydına erişmek için Benzer şekilde GitHub Container Registry, yetkisiz erişime karşı ek bir katman olarak iki faktörlü kimlik doğrulamayı (2FA) zorunlu kıldı

Etkilenenlerden bazıları arasında,

Araştırmacılar, “Bu, bu tür savunmasız şifrelerin kullanımını önlemek için katı şifre oluşturma kurallarını uygulayan kurumsal şifre politikalarına olan kritik ihtiyacın altını çiziyor” diye ekledi

Aqua ayrıca kuruluşların GitHub’daki halka açık depolarda bulunan dosyalardan sırları kaldırmada başarısız olduğu ve bunun da yanlışlıkla açığa çıkmasına neden olduğu örnekler bulduğunu söyledi

Araştırmacılar, “Çoğu durumda, bu kimlik bilgileri ayrıcalıkların hem çekilmesine hem de itilmesine izin verdi” dedi dockerconfigjson ve “Ayrıca, bu kayıtların çoğunda özel konteyner görsellerini sıklıkla keşfettik


24 Kasım 2023Haber odasıBulut güvenliği / Veri Koruma

Siber güvenlik araştırmacıları, kuruluşları tedarik zinciri saldırıları riskine sokabilecek Kubernetes yapılandırma sırlarının kamuya açık olduğu konusunda uyarıda bulunuyor ”

Ayrıca 93 şifrenin neredeyse %50’sinin zayıf olduğu değerlendirildi “Bazı durumlarda, anahtar geçerli olsa da, genellikle yalnızca belirli bir yapıyı veya görüntüyü çekmek veya indirmek için minimum ayrıcalıklara sahipti



siber-2

Kayıtlar için potansiyel olarak geçerli kimlik bilgilerine sahip olan 438 kayıttan 203’ü (yaklaşık %46’sı), ilgili kayıtlara erişim sağlayan geçerli kimlik bilgileri içeriyordu Bilgisayar tarafından oluşturulan 345 şifrenin aksine, doksan üç şifre bireyler tarafından manuel olarak belirlendi ” söz konusu Bu hafta başında yayınlanan yeni bir araştırmada dockercfg içeren tüm girişleri almak için GitHub API’sinden yararlanan bulut güvenlik firmasına göre, en iyi iki blockchain şirketi ve çeşitli diğer servet 500 şirketleri yer alıyor Bu, diğerlerinin yanı sıra şifre, test123456, windows12, ChangeMe ve dockerhub’dan oluşuyordu