Los gráficos de Helm de Kubernetes pueden revelar información sin que los usuarios se den cuenta.
Expertos de Microsoft advierten sobre los riesgos de las configuraciones predeterminadas.
Microsoft ha alertado a los usuarios de Kubernetes sobre los posibles riesgos asociados con los Helm charts que utilizan configuraciones predeterminadas. Según investigaciones realizadas por sus especialistas en seguridad, estas configuraciones, frecuentemente, incluyen puertos abiertos, credenciales débiles y otros factores de riesgo que pueden comprometer la seguridad de los datos.
Kubernetes es una plataforma de código abierto que facilita la automatización del despliegue, escalado y gestión de aplicaciones en contenedores. Por su parte, Helm actúa como un gestor de paquetes que simplifica el proceso de instalación y gestión de aplicaciones en Kubernetes mediante plantillas preconfiguradas, conocidas como charts. Esto permite a los usuarios definir, instalar y actualizar aplicaciones complejas de Kubernetes con una configuración manual mínima.
En un nuevo artículo, titulado “El riesgo de la configuración predeterminada: Cómo los helm charts listos para usar pueden comprometer tu clúster”, los autores Michael Katchinskiy y Yossi Weizman explican que, en muchos casos, los Helm charts se implementan sin ningún tipo de autenticación, mantienen ciertos puertos abiertos y utilizan contraseñas que son fáciles de adivinar o que están codificadas de forma rígida. Esto ocurre comúnmente entre los usuarios poco experimentados en la nube.
El artículo señala que "las configuraciones predeterminadas que carecen de controles de seguridad adecuados representan una grave amenaza", y advierten que sin una revisión cuidadosa de los manifiestos YAML y los Helm charts, las organizaciones pueden desplegar servicios que carecen de protección, dejándolos completamente expuestos a ataques. Los autores también mencionan que esta vulnerabilidad es especialmente preocupante cuando las aplicaciones desplegadas pueden realizar consultas a APIs sensibles o permitir acciones administrativas.
Se identificaron tres ejemplos específicos donde los Helm charts ponen en riesgo entornos completos de Kubernetes: Apache Pinot, Meshery y Selenium Grid. La mejor manera de mitigar estos riesgos es ser cauteloso al desplegar Helm, evitar el uso de configuraciones predeterminadas y evaluar la configuración desde una perspectiva de seguridad, asegurándose de que incluya autenticación y aislamiento de red.
Además, Microsoft recomienda realizar escaneos regulares para detectar malas configuraciones que podrían exponer interfaces al público, así como monitorizar de cerca la actividad en contenedores para identificar posibles acciones no autorizadas.
