Ciberseguridad
Contenedores

Los registros de contenedores mal configurados pueden exponer datos confidenciales

Shadow IT o la configuración descuidada de los registros de contenedores y artefactos podrían, además, permitir la inyección de código malicioso.

contenedores aéreo

Un grupo de investigadores de Aqua Security ha hallado miles de registros de contenedores mal configurados y expuestos públicamente. También, repositorios pertenecientes a empresas que podrían dar a los atacantes acceso tokens, claves de cifrado y otro tipo de informaciones confidenciales sobre sus sistemas internos. Esto podría ser una puerta para planificar y ejecutar incidentes contra los sistemas de producción y desarrollo y, en algunos casos, inyectar código malicioso.

“En muchas ocasiones, los sistemas de gestión de artefactos y los registros de contenedores están conectados a Internet deliberadamente y por diseño, lo que permite a los usuarios anónimos entrar en varias áreas del registro, o incluso a todo”, aseguran los expertos. “este diseño hace que los equipos globales, los clientes y otras partes interesadas accedan a software de código abierto que se comparte en toda la compañía o con usuarios externos. Sin embargo, en algunos casos, los entornos restringidos se comparten accidentalmente con personas anónimas; y, en otros, los departamentos publican accidentalmente información sensible a las áreas públicas”.

Los registros que encontraron los investigadores tenían más de 250 millones de artefactos y más de 65.000 imágenes de contenedores. Un registro es un servidor central para alojar paquetes de software. Estas pueden ser imágenes de contenedores que incluyen aplicaciones o artefactos preconfigurados: archivos binarios que se utilizan durante la creación o implementación de aplicaciones. Estos pueden tener información confidencial dentro de sus archivos de configuración y código, incluidos tokens de acceso, claves de autenticación y contraseñas de bases de datos, direcciones IP internas y rutas de sistemas de archivos a servidores y activos adicionales.

El equipo de Aqua encontró más de 10 000 registros de contenedores de propiedad privada y más de 7000 depósitos de artefactos accesibles desde Internet. Esto incluyó registros configurados con Quay.io, una herramienta de creación e implementación de contenedores, y repositorios de artefactos configurados con Sonatype Nexus y JFrog. Más de 2800 de los registros de acceso público y alrededor de 4000 repositorios de artefactos se configuraron para el acceso anónimo.

Esto no es necesariamente un problema de seguridad si ese acceso está destinado y limitado a activos no confidenciales, pero ese no fue el caso para una cantidad significativa de ellos. Los investigadores pudieron identificar las credenciales expuestas en más de 4.000, y 156 hosts incluían información confidencial sobre los sistemas de almacenamiento (Redis, MongoDB, PostgreSQL, MySQL, etc.) que podrían permitir a los atacantes planificar actividades de movimiento lateral en el entorno.

Se configuraron alrededor de 2.100 repositorios de artefactos con permisos de carga para el acceso anónimo, lo que podría permitir a los atacantes cargar artefactos con código malicioso que luego podría ser consumido por los procesos de desarrollo. Otros 57 registros tenían contraseñas de administrador predeterminadas.

"Encontramos organizaciones pequeñas, medianas y grandes de todo el mundo, incluidas diez empresas de la lista Fortune 500. Solo los registros de cinco empresas de Fortune 500 contenían información muy confidencial y, en algunos casos, no se suponía que estuvieran expuestos o permitieran el acceso anónimo. Además, encontramos que dos empresas líderes en ciberseguridad habían expuesto secretos en sus registros, y un número significativo de empresas más pequeñas las empresas tenían problemas similares que las ponían en riesgo".

 

Shadow IT es una razón común para la exposición del registro

Dado que Aqua encontró tales exposiciones en grandes empresas que tienen grandes equipos de seguridad e incluso en empresas de seguridad, es justo suponer que las organizaciones más pequeñas sin casi el mismo nivel de experiencia en seguridad interna tienen aún más probabilidades de configurar incorrectamente sus registros. En muchos casos, la exposición es el resultado de TI en la sombra: desarrolladores o ingenieros de infraestructura que toman decisiones de configuración y cambios para facilitar su trabajo sin comprender completamente los riesgos.

Por ejemplo, Aqua encontró dos registros de imágenes de contenedores mal configurados operados por los equipos de desarrollo e ingeniería de un gigante tecnológico de Fortune 100. Una de las imágenes de contenedor encontradas en el interior tenía un archivo de manifiesto utilizado para el proceso de creación que incluía un comando para descargar artefactos de un registro de artefactos, junto con una clave API para acceder al registro de artefactos.

Resultó que la clave API tenía privilegios de "despliegue", lo que podría haber permitido a un atacante envenenar artefactos. El repositorio de artefactos contenía más de 240 millones de artefactos utilizados en el entorno de producción, así como bibliotecas de software internas

Asimismo, se descubrió que un registro de imágenes de contenedor público perteneciente a una organización de atención médica contenía muchas claves y secretos que brindaban acceso completo a sitios web, bases de datos, entornos de prueba, su cuenta de pasarela de pago Stripe y código fuente. Este nivel de exposición habría dado a los atacantes un control casi total sobre la infraestructura de la nube de la empresa y podría haber expuesto la información personal de salud de los usuarios.

En el otro extremo del espectro, a veces las configuraciones son intencionales, pero las organizaciones no tienen en cuenta todos los riesgos. En un caso que involucró a un gigante tecnológico diferente, un repositorio de artefactos que la empresa pretendía que fuera de acceso público contenía un paquete que exponía un token de acceso. Después de una discusión interna, el equipo de seguridad de la empresa evaluó que el token no era confidencial y estaba destinado a ser público, pero se implementaron políticas y controles de acceso más estrictos para garantizar la rotación periódica de los tokens.

Sin embargo, los riesgos que se derivan de un repositorio de artefactos públicos no se limitan a la exposición directa de tokens y claves de acceso. El mero conocimiento de los nombres de paquetes internos de npm o Python puede brindar a los atacantes suficiente información para lanzar ataques de confusión de dependencias en ausencia de medidas de seguridad adicionales.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper