Дослідники Lacework виявили 22 тисячі вразливих хмарних сервісів
Дослідники Lacework виявили 22 тисячі вразливих хмарних сервісів
Фахівці Lacework опублікували дослідження, в якому розповіли про виявлення 22 тисяч активних систем оркестрування контейнерів і API-інтерфейсів. Вчені проаналізували інструменти для управління хмарними сервісами і виявили деякі помилки в їхній роботі.
Масштаб проблеми
Дослідники Lacework з'ясували, що згадані системи не захищені брандмауером і не обмежені використанням приватних віртуальних мереж (VPN), а це робить сервіси вразливими. Їх здатний виявити кожен користувач за допомогою стандартних інструментів для перевірок на проникнення та IoT-пошуковиків, а розробники можуть використовувати відкриті вузли в якості основи для своїх хмарних середовищ. У цьому причина широкого поширення незахищених систем.
Статистика вразливостей
Фахівці виявили 22 672 панелі управління оркеструванням контейнерів, із них 305 були без пароля. Також дослідники знайшли 38 серверів Kubernetes з неавтентифікованою службою перевірки безпеки healthz.
Більше 95% виявлених контейнерів розміщено на інфраструктурі веб-служб Amazon (AWS), з їх 85% — на території США.
Kubernetes — це програмне забезпечення для роботи з контейнеризованими додатками. У травні 2018 року Google представила оновлення фреймворку Kubernetes Engine до версії 1.10.