Microsoft, Kubernetes Helm Şablonlarının Varsayılan Ayarlarında Güvenlik Açığı Tespit Etti
Microsoft, Kubernetes kullanıcılarını varsayılan Helm şablonlarının ciddi güvenlik riskleri oluşturabileceği konusunda uyardı. Şirketin Defender for Cloud Research ekibi, Helm şemalarının yanlış yapılandırıldığında hassas verilerin internet üzerinden erişilebilir hâle geldiğini ortaya koydu.
Helm Şemaları Kötü Yapılandırıldığında Kubernetes Güvenliğini Tehdit Ediyor
Kubernetes, konteynerleştirilmiş uygulamaların dağıtımını, ölçeklenmesini ve yönetimini kolaylaştıran açık kaynaklı bir platform olarak öne çıkıyor. Helm ise Kubernetes üzerinde uygulama kurulumlarını basitleştiren bir paket yöneticisi görevini üstleniyor. Helm şemaları, bu kurulumlarda gerekli kaynakları tanımlayan YAML dosyalarını içeriyor.
Microsoft’un yayımladığı rapor, bazı Helm şemalarının güvenlik denetimi olmadan çalıştırılabildiğini gösterdi. Şirketin araştırmasına göre bazı şemalar, kimlik doğrulaması gerektirmeyen servisleri internet üzerinden erişilebilir şekilde çalıştırıyor. Ayrıca bazı kurulumlar, kolay tahmin edilebilen ya da sabitlenmiş parolalarla yapılandırılıyor. Bu durum, kötü niyetli kişiler için ciddi bir fırsat doğuruyor.
Microsoft araştırmacıları Michael Katchinskiy ve Yossi Weizman, sorunun boyutunu göstermek için üç örnek olay sundu. Bu olayların her biri, Kubernetes ortamlarını açıkta bırakan yapılandırma hatalarını içeriyor:
- Apache Pinot: pinot-controller ve pinot-broker hizmetlerini Kubernetes LoadBalancer aracılığıyla kimlik doğrulama olmadan açığa çıkarıyor.
- Meshery: Açık IP üzerinden herkese kayıt olma izni veriyor. Bu sayede herhangi biri kayıt olarak küme işlemlerine erişebiliyor.
- Selenium Grid: NodePort yapılandırması sayesinde kümedeki tüm düğümler üzerinden servis erişime açılıyor. Koruma sadece dış güvenlik duvarı kurallarıyla sağlanıyor. Bu sorun resmî Helm şemasıyla ilgili olmasa da GitHub üzerindeki birçok projede karşılaşılıyor.
Selenium Grid örneğinde daha önce Wiz gibi siber güvenlik firmaları, yapılandırması hatalı bu sistemlerin XMRig madencilik yazılımı yüklenerek Monero kripto parası üretmek için kullanıldığını bildirmişti.
Microsoft, kullanıcıların varsayılan Helm yapılandırmalarını dağıtıma geçmeden önce dikkatle incelemesini öneriyor. Bu incelemelerde kimlik doğrulama kontrolü ve ağ yalıtımı gibi temel güvenlik önlemlerinin yer alıp almadığı değerlendirilmeli. Ayrıca, Kubernetes yüklerini kamuya açık hâlde bırakan yanlış yapılandırmalar için düzenli güvenlik taramaları yapılmalı.
Şirket, uygulama düzeyinde yönetici erişimi sağlayan ya da hassas verilerle çalışan sistemlerde bu tür açıklara karşı ekstra özen gösterilmesi gerektiğini vurguluyor.
