Danger des conteneurs dans le cloud
Un rapport révèle un accès illimité aux tableaux de bord de Kubernetes ainsi qu'aux informations d'identification en texte clair d'autres infrastructures critiques dans des environnements de cloud public.
La plupart des gens verrouillent leurs portes, du moins lorsqu’ils ne sont pas à la maison. Après tout, personne n’a envie de rentrer à la maison et de trouver quelqu’un allongé sur son canapé, regardant Netflix et détruisant complètement les algorithmes qui déterminent ce qui apparaît dans la « liste recommandée » en regardant un genre que vous ne regarderiez jamais. Imaginez l'horreur.
Vous serez peut-être surpris d’apprendre que, selon les statistiques sur la criminalité , environ 30 % des cambrioleurs utilisent une fenêtre ou une porte ouverte ou déverrouillée.
En tournant nos regards vers la technologie, nous trouvons des « fenêtres et portes ouvertes » similaires dans un récent rapport de l’équipe RedLock CSI . RedLock est une plate-forme de surveillance de la sécurité de l'infrastructure basée sur le cloud et compatible API qui offre une visibilité sur votre environnement cloud. C'est donc comme ADT pour le cloud. Son rapport récent s’appuie sur son analyse de l’environnement de ses clients. Plus d’un million de ressources traitant 12 pétaoctets de trafic réseau ont été évaluées. Il a découvert pas mal de failles de sécurité, mais celle-ci a attiré mon attention :
285 tableaux de bord Kubernetes (interface d'administration Web) déployés sur Amazon Web Services (AWS), Microsoft Azure et Google Cloud Platform qui n'étaient pas protégés par mot de passe. Après une enquête plus approfondie, l'équipe a découvert des informations d'identification en texte clair pour d'autres infrastructures critiques au sein des systèmes Kubernetes. [c'est moi qui souligne]
La découverte d’informations d’identification en texte clair n’est malheureusement pas surprenante. Vous vous souviendrez peut-être que cette question a été soulevée début 2016 lorsque nous avons discuté de « La nouvelle menace interne : Cadres d'automatisation . » Malheureusement, si vous laissez la porte d'entrée ouverte, l'utilisation d'informations d'identification en texte clair pour autoriser l'activité dans les environnements de conteneurs peut constituer une menace aussi externe qu'interne.
Maintenant, nous pourrions soutenir que ces tableaux de bord largement ouverts n’étaient peut-être pas critiques et probablement même non productifs. Ce sont juste des tests ou des développements, n'est-ce pas ? Il s'agissait d'un POC pour la conteneurisation d'applications ultérieures qui ont simplement été oubliées ou non considérées comme une menace. Sauf que nous savons que ces types d’ environnements non gouvernés dans le cloud contribuent à l’étalement du cloud , ce qui grignote les budgets et introduit des risques autres que celui d’un accès illimité à un système qui peut être chargé de lancer d’innombrables systèmes en un clic.
Le même rapport a révélé que « 14 % des comptes utilisateurs sont inactifs, les informations d’identification étant actives mais aucune connexion n’ayant eu lieu au cours des 90 derniers jours », ce qui semble fournir une preuve supplémentaire qu’un bon nombre de ressources dans le cloud ne sont pas gérées – et probablement pas surveillées en termes d’activité.
Laisser une seule porte ou fenêtre déverrouillée augmente le risque. Le problème avec la sécurité physique est que, d’une manière générale, les malfaiteurs doivent tester physiquement votre porte pour déterminer son statut. Cela demande du temps et des efforts physiques. Dans le monde numérique, cette exigence a disparu. Je peux analyser vos systèmes avec un script et lui demander de m'envoyer un message détaillant tous les systèmes qu'il a trouvés en cours d'exécution et ouverts à l'accès en quelques secondes. La barrière à l’entrée dans le monde du cambriolage numérique est plus faible, ce qui rend encore plus dangereux le fait de laisser une seule porte ouverte.
La migration lente mais régulière vers des environnements basés sur le cloud a eu un impact sur de nombreux aspects de l’informatique. Un domaine dont on parle rarement est l’administration. Mais nous devrions le faire, d’autant plus que la plupart d’entre eux sont aujourd’hui fournis via une interface Web et offrent un accès facile au port 80 à quiconque le recherche. Cela signifie que la sécurité des consoles d’administration et des tableaux de bord doit être considérée comme une priorité. Ces systèmes reposent sur des composants Web standards, dont beaucoup sont vulnérables aux mêmes failles de sécurité que leurs homologues destinés aux utilisateurs. Qu'il s'agisse de scripts intersites ou de SQLi, de mots de passe par défaut ou d'entrées par porte dérobée, nous devons (et c'est un MUST de style RFC) consacrer du temps et du budget aux tests et à la sécurisation du côté gestion des systèmes et environnements que nous utilisons pour déployer nos applications.
Nous ne parlons pas d’un « nouveau » paradigme de sécurité ; nous parlons de la sécurité de base des applications Web. Le verrouillage de l’accès aux applications Web est une chose que nous faisons depuis près de vingt ans maintenant. C'est bien compris et cela ne devrait pas être quelque chose que nous ignorons allègrement simplement parce que ce n'est que du développement ou des tests.
Il suffit d’une seule porte ouverte pour qu’un cambrioleur – numérique ou non – accède à toute votre maison. Et les conséquences lorsque tout cela est numérique se propagent plus loin et plus rapidement grâce à la technologie et à la facilité avec laquelle nous pouvons scanner, pénétrer et accéder aux systèmes connectés.
Soyez prudent là-bas. N’ignorez pas la sécurité de vos consoles et systèmes d’administration.