Aqua 研究團隊在一篇研究論文中表示,他們在公共存儲庫中發現了 Kube.NETes 機密(secret),這些機密允許訪問軟件開發生命周期 (SDLC) 中的敏感環境,并引發嚴重的供應鏈攻擊威脅。
研究團隊警告稱,涉及的公司包括SAP的Artifacts管理系統,擁有超過9500萬個工件,還有兩家頂級區塊鏈公司和其他一些財富500強公司。這些編碼的Kubernetes配置機密被上傳到了公共代碼庫中。
Kubernetes機密對于在開源容器編排環境中管理敏感數據至關重要。然而,這些機密通常以未加密的形式存儲在API服務器的底層數據存儲中,使其容易受到攻擊。
Aqua團隊表示,他們專注于兩種類型的Kubernetes機密,即Dockercfg和dockerconfigjson,這些機密存儲了訪問外部注冊表的憑證,并使用Github的API來識別意外上傳到公共代碼庫中的Kubernetes機密實例。目前,他們發現了數百個公共代碼庫中的實例,影響范圍涉及個人、開源項目和大型組織。
Aqua研究團隊使用GitHub的API進行搜索,以檢索包含.dockerconfigjson和.dockercfg的所有條目。初始查詢結果超過8000個,在進一步的細化搜索——僅包括那些包含以base64編碼的用戶名和密碼值的記錄后,找到了438個可能包含有效憑證的記錄。其中203個記錄包含了提供對相應注冊表訪問權限的有效憑證。在大多數情況下,這些憑證允許拉取和推送權限。
此外,Aqua團隊發現在這些注冊表中經常存在私有容器映像。并通知了相關組織有關暴露的機密和他們應采取的措施。
Aqua團隊表示,他們發現許多從業者有時會忽略從他們提交到GitHub公共代碼庫的文件中刪除機密,從而暴露敏感信息。“這些機密只需要一個base64解碼命令就可以以明文形式顯示出來,”研究人員警告稱。
在涉及暴露9500萬個工件的Artifacts倉庫中,Aqua表示,此Artifacts倉庫密鑰的暴露代表了重大的安全風險。由此訪問可能帶來的潛在威脅包括專有代碼泄露、數據泄露和供應鏈攻擊的風險,所有這些都可能損害組織的完整性和客戶的安全。
