【計時炸彈】開發員忽視安全措施 上傳開源倉庫計劃含國際大企業機密資料
Aqua Security 研究員發表研究報告,指有使用開源倉庫儲存開發計劃的企業或開發人員,未有慎重處理上傳數據中是否包含容器管理平台的帳戶登入憑證,從研究員發現的二百多個計劃中,竟包括多間財富 500 名單上的企業及兩間區塊鏈公司,如被有心人取得,將會引爆破壞力驚人的供應鏈攻擊,企業不可不防。
以 GitHub 的 API 進行搜尋
不少企業現時都有使用容器技術,因為它具備非常高的彈性及可擴充性,讓企業可在本地環境開發各種應用程序之餘,也能輕易轉移至公共雲或混合雲環境,以應付不同的業務需求。由於容器有輕量及可移植特性,因此亦有快速部署或交付的優勢,並能在不同作業環境保有一致的運行表現,減少硬體需求及營運成本。而為了能有效率地管理容器,企業會選用 Kubernetes 等開源容器管理平台,除了有助管理容器化的應用程序,還可獲得一定的安全性及在故障時根據設定自動重啟服務。
不過,今次 Aqua Security 便針對開源倉庫 GitHub 上是否有企業員工將 Kubernetes 的 secrets,無意或故意上載至開源倉庫上,嘗試從中搜尋開發人員在使用容器時的安全漏洞,最終獲得這次調查結果。研究員首先專注研究 dockercfg 和 dockerconfigjson 兩種類型的 Kubernetes secrets,因為 secrets 內會儲存了帳戶登入憑證等機密資料,雖然資料會以 base64 技術加密,但要破解亦不算困難。研究員利用 GitHub 的 API 進行搜尋,最初便發現了超過 8000 個搜尋結果,為了收窄有用項目,他們又進步加入篩選條件,只搜尋內有 base64 加密的用家及密碼值記錄,繼而找出 438 條結果。
包括財富 500 榜上企業
而在這堆結果當中,有 46% 包含了 Kubernetes 訪問帳戶的有效憑證,而且亦具備 pull 及 push 的權限。研究員指出,在這些搜尋到的 Kubernetes secrets 中,有的是屬於 SAP 的 Artifacts 管理系統,讓研究員可讀取儲存的 9500 萬個 artifacts,當中包括兩間區塊鏈公司,以及財富 500 榜上有名的企業,如被有心人獲取,將可引爆供應鏈攻擊炸彈,破壞力非常驚人,因此研究員已第一時間接觸這些企業用戶及涉事機構,建議他們快速處理開源倉庫上的 Kubernetes secret,同時要加強日後的安全維護。
研究員指出,有不少開發人員雖然意識到問題的嚴重性,但可能為了方便,因此忽略了刪除上載至開源倉庫的開發計劃,研究員特別強調雖然這次的報告內的風險問題大都出現在 Kubernetes 平台,但其實還適用於其他開源倉庫之中,因此建議企業應制定嚴謹的安全政策,同時必須讓員工明白到它的重要性,才能減少出現無心之失。
