Danger des conteneurs dans le cloud
Un rapport révèle un accès illimité aux tableaux de bord de Kubernetes ainsi qu'aux informations d'identification en texte clair d'autres infrastructures critiques dans des environnements de cloud public.
La plupart des gens verrouillent leurs portes, du moins lorsqu’ils ne sont pas à la maison. Après tout, personne n’a envie de rentrer à la maison et de trouver quelqu’un allongé sur son canapé, regardant Netflix et détruisant complètement les algorithmes qui déterminent ce qui apparaît dans la « liste recommandée » en regardant un genre que vous ne regarderiez jamais. Imaginez l'horreur.
Vous serez peut-être surpris d’apprendre que, selon les statistiques sur la criminalité , environ 30 % des cambrioleurs utilisent une fenêtre ou une porte ouverte ou déverrouillée.
En nous tournant vers la technologie, nous constatons des “fenêtres et portes ouvertes” similaires dans un rapport récent de l’équipe RedLock CSI. RedLock est une plateforme de surveillance de la sécurité des infrastructures cloud, activée par API, qui vous offre une visibilité complète sur votre environnement cloud. C’est en quelque sorte l’équivalent d’ADT pour le cloud. Son dernier rapport repose sur l’analyse des environnements de ses clients. Plus d’un million de ressources traitant 12 pétaoctets de trafic réseau ont été examinées. Ils ont relevé plusieurs fautes graves en sécurité, mais celle-ci a particulièrement retenu mon attention :
285 tableaux de bord Kubernetes (interface d'administration Web) déployés sur Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform qui n'étaient pas protégés par mot de passe. Après une enquête plus approfondie, l'équipe a découvert des informations d'identification en texte clair pour d'autres infrastructures critiques au sein des systèmes Kubernetes. [c'est moi qui souligne]
La découverte d’informations d’identification en texte clair n’est malheureusement pas surprenante. Vous vous souviendrez peut-être que cette question a été soulevée début 2016 lorsque nous avons discuté de « La nouvelle menace interne : Cadres d'automatisation . » Malheureusement, si vous laissez la porte d'entrée ouverte, l'utilisation d'informations d'identification en texte clair pour autoriser l'activité dans les environnements de conteneurs peut constituer une menace aussi externe qu'interne.
Maintenant, nous pourrions soutenir que ces tableaux de bord largement ouverts n’étaient peut-être pas critiques et probablement même non productifs. Ce sont juste des tests ou des développements, n'est-ce pas ? Il s'agissait d'un POC pour la conteneurisation d'applications ultérieures qui ont simplement été oubliées ou non considérées comme une menace. Sauf que nous savons que ces types d’ environnements non gouvernés dans le cloud contribuent à l’étalement du cloud , ce qui grignote les budgets et introduit des risques autres que celui d’un accès illimité à un système qui peut être chargé de lancer d’innombrables systèmes en un clic.
Le même rapport constate que « 14 % des comptes utilisateur sont inactifs, leurs identifiants restant actifs sans qu’aucune connexion n’ait été enregistrée ces 90 derniers jours ». Cela montre clairement que de nombreuses ressources dans le cloud ne sont ni gérées ni surveillées.
Laisser une seule porte ou fenêtre déverrouillée augmente le risque. Le problème avec la sécurité physique est que, d’une manière générale, les malfaiteurs doivent tester physiquement votre porte pour déterminer son statut. Cela demande du temps et des efforts physiques. Dans le monde numérique, cette exigence a disparu. Je peux analyser vos systèmes avec un script et lui demander de m'envoyer un message détaillant tous les systèmes qu'il a trouvés en cours d'exécution et ouverts à l'accès en quelques secondes. La barrière à l’entrée dans le monde du cambriolage numérique est plus faible, ce qui rend encore plus dangereux le fait de laisser une seule porte ouverte.
La migration lente mais régulière vers des environnements basés sur le cloud a eu un impact sur de nombreux aspects de l’informatique. Un domaine dont on parle rarement est l’administration. Mais nous devrions le faire, d’autant plus que la plupart d’entre eux sont aujourd’hui fournis via une interface Web et offrent un accès facile au port 80 à quiconque le recherche. Cela signifie que la sécurité des consoles d’administration et des tableaux de bord doit être considérée comme une priorité. Ces systèmes reposent sur des composants Web standards, dont beaucoup sont vulnérables aux mêmes failles de sécurité que leurs homologues destinés aux utilisateurs. Qu'il s'agisse de scripts intersites ou de SQLi, de mots de passe par défaut ou d'entrées par porte dérobée, nous devons (et c'est un MUST de style RFC) consacrer du temps et du budget aux tests et à la sécurisation du côté gestion des systèmes et environnements que nous utilisons pour déployer nos applications.
Nous ne parlons pas d’un « nouveau » paradigme de sécurité ; nous parlons de la sécurité de base des applications Web. Le verrouillage de l’accès aux applications Web est une chose que nous faisons depuis près de vingt ans maintenant. C'est bien compris et cela ne devrait pas être quelque chose que nous ignorons allègrement simplement parce que ce n'est que du développement ou des tests.
Il suffit d’une seule porte ouverte pour qu’un cambrioleur – numérique ou non – accède à toute votre maison. Et les conséquences lorsque tout cela est numérique se propagent plus loin et plus rapidement grâce à la technologie et à la facilité avec laquelle nous pouvons scanner, pénétrer et accéder aux systèmes connectés.
Soyez prudent là-bas. N’ignorez pas la sécurité de vos consoles et systèmes d’administration.