Secretos de Kubernetes de Empresas Fortune 500 Expuestos en Repositorios Públicos

-

Investigadores de ciberseguridad advierten sobre secretos de configuración de Kubernetes expuestos públicamente que podrían poner a las organizaciones en riesgo de ataques a la cadena de suministro.

"Estos secretos de configuración de Kubernetes codificados se cargaron en repositorios públicos", dijeron los investigadores de seguridad de Aqua, Yakir Kadkoda y Assaf Morag, en una nueva investigación publicada a principios de esta semana.

Algunas de las empresas afectadas incluyen dos de las principales empresas de blockchain y varias otras empresas Fortune 500, según la firma de seguridad en la nube, que utilizó la API de GitHub para recuperar todas las entradas que contenían .dockerconfigjson y .dockercfg, que almacenan credenciales para acceder a un registro de imágenes de contenedores.

De los 438 registros que potencialmente contenían credenciales válidas para registros, 203 registros, aproximadamente el 46%, contenían credenciales válidas que proporcionaban acceso a los registros respectivos. Noventa y tres de las contraseñas fueron establecidas manualmente por individuos, en comparación con las 345 que fueron generadas por computadora.

"En la mayoría de los casos, estas credenciales permitían privilegios tanto para extraer como para empujar", señalaron los investigadores. "Además, a menudo descubrimos imágenes de contenedores privados dentro de la mayoría de estos registros".

Además, cerca del 50% de las 93 contraseñas se consideraron débiles. Esto incluía contraseñas como password, test123456, windows12, ChangeMe y dockerhub, entre otras.


"Esto subraya la necesidad crítica de políticas de contraseñas organizativas que impongan estrictas reglas de creación de contraseñas para evitar el uso de contraseñas vulnerables", agregaron los investigadores.

Aqua también encontró casos en los que las organizaciones no eliminan secretos de los archivos que se comprometen en repositorios públicos en GitHub, lo que lleva a una exposición inadvertida.

Pero en una nota positiva, todas las credenciales asociadas con AWS y Google Container Registry (GCR) resultaron ser temporales y caducadas, lo que hacía imposible el acceso. De manera similar, el GitHub Container Registry requería autenticación de dos factores (2FA) como una capa adicional contra el acceso no autorizado.

"En algunos casos, las claves estaban cifradas y, por lo tanto, no se podía hacer nada con la clave", dijeron los investigadores. "En algunos casos, aunque la clave era válida, tenía privilegios mínimos, a menudo solo para extraer o descargar un artefacto o imagen específica".

Según el Informe sobre el Estado de la Seguridad de Kubernetes de Red Hat publicado a principios de este año, las vulnerabilidades y las malas configuraciones surgieron como las principales preocupaciones de seguridad con los entornos de contenedores, con un 37% de los 600 encuestados identificando la pérdida de ingresos/clientes como resultado de un incidente de seguridad de contenedores y Kubernetes. 


Contenido traducido al español con fines informativos, cualquier cambio en la publicación original no será reflejada en esta entrada, favor referirse a la fuente para obtener el acceso a cualquier actualización del contenido. Para la traducción se utilizó un LLM, al ser una traducción automática puede contener errores gramaticales o de otro tipo, me pueden enviar un mensaje.

Comentarios

Publicar un comentario

Entradas más populares de este blog

Falsos sitios de DocuSign y Gitcode propagan NetSupport RAT mediante ataque PowerShell en múltiples etapas

-
Imagen
Cazadores de amenazas están alertando sobre una nueva campaña que utiliza sitios web falsos para engañar a usuarios desprevenidos y hacer que ejecuten scripts maliciosos de PowerShell en sus máquinas, infectándolas con el malware NetSupport RAT. El equipo de Investigaciones de DomainTools (DTI) informó que identificó “scripts PowerShell maliciosos en múltiples etapas” alojados en sitios trampa que se hacen pasar por Gitcode y DocuSign. “Estos sitios intentan engañar a los usuarios para que copien y ejecuten un script inicial de PowerShell desde el comando ‘Ejecutar’ de Windows”, indicó la empresa en un informe técnico compartido con The Hacker News. “Al hacerlo, el script de PowerShell descarga otro script que actúa como descargador y lo ejecuta en el sistema, lo que a su vez recupera cargas útiles adicionales y las ejecuta, instalando finalmente NetSupport RAT en las máquinas infectadas.” Ciberseguridad Se cree que estos sitios falsos se propagan mediante tácticas de ingeniería so...
Leer más

Microsoft Reemplaza Aplicación de Escritorio Remoto por Windows App: Implicaciones en Ciberseguridad

-
Imagen
Microsoft ha anunciado que, a partir del 27 de mayo de 2025, la aplicación Remote Desktop disponible en la Microsoft Store dejará de ser compatible y será reemplazada por la nueva Windows App. Esta transición busca unificar y mejorar las experiencias de escritorio remoto en sus plataformas, pero también plantea consideraciones importantes en términos de ciberseguridad. ​   Mejoras en Seguridad con Windows App La Windows App, lanzada en septiembre de 2024, ofrece varias mejoras significativas en comparación con la antigua aplicación de Escritorio Remoto:​ Acceso Unificado y Seguro : Proporciona acceso consolidado a múltiples servicios de Windows, incluyendo Windows 365, Azure Virtual Desktop y Microsoft Dev Box, desde una interfaz simplificada. Esta unificación reduce la superficie de ataque al centralizar los puntos de acceso. ​ Soporte Multimonitor y Resoluciones Dinámicas : Facilita una experiencia más fluida y adaptable, permitiendo a los usuarios trabajar de manera más efi...
Leer más

El FBI advierte sobre suplantación de correo electrónico por parte del actor de amenazas norcoreano Kimsuky

-
Imagen
El actor de amenazas norcoreano Kimsuky está aprovechando nuevas tácticas de suplantación de correo electrónico en sus recientes campañas de spearphishing, advirtieron conjuntamente el Buró Federal de Investigaciones (FBI), el Departamento de Estado de EE. UU. y la Agencia de Seguridad Nacional (NSA) el jueves en un aviso conjunto . Kimsuky, también conocido como Emerald Sleet o APT43, es una subunidad de la Oficina General de Reconocimiento (RGB) del ejército norcoreano y es conocido por sus campañas de spearphishing destinadas a recopilar inteligencia sobre asuntos que afectan los intereses norcoreanos. Esto incluye información sobre eventos geopolíticos y las estrategias de política exterior de los adversarios de Corea del Norte. El modus operandi del grupo es hacerse pasar por periodistas legítimos, grupos de expertos, académicos y otros expertos en asuntos del este asiático, convenciendo a las víctimas de abrir enlaces o documentos maliciosos bajo el pretexto de ofrecer una entrev...
Leer más