Microsoft advierte sobre los riesgos de seguridad que representan las configuraciones predeterminadas en las implementaciones de Kubernetes, en particular las que utilizan gráficos Helm preconfigurados, que podrían exponer públicamente datos confidenciales.

En muchos casos, estos gráficos Helm no requerían autenticación, dejaban abiertos puertos vulnerables y utilizaban contraseñas débiles o codificadas de forma rígida, fáciles de descifrar.

Un informe publicado por los investigadores de seguridad Michael Katchinskiy y Yossi Weizman, de Microsoft Defender for Cloud Research, destaca tres casos como ejemplos de un problema de seguridad más amplio que pone en riesgo las cargas de trabajo de Kubernetes.

Kubernetes es una plataforma de código abierto ampliamente utilizada, diseñada para automatizar la implementación, el escalado y la gestión de aplicaciones en contenedores.

Helm es un gestor de paquetes para Kubernetes, y los diagramas son plantillas o planos para implementar aplicaciones en la plataforma, proporcionando archivos YAML que definen los recursos clave necesarios para ejecutar una aplicación.

Los diagramas de Helm son populares porque simplifican y aceleran las implementaciones complejas. Sin embargo, como se destaca en el informe de Microsoft, en muchos casos, la configuración predeterminada de estos diagramas carece de las medidas de seguridad adecuadas.

Los usuarios sin experiencia en seguridad en la nube suelen implementar estos diagramas de Helm tal como están, exponiendo involuntariamente los servicios a internet y permitiendo a los atacantes escanear y explotar aplicaciones mal configuradas.

Los investigadores destacan tres casos de diagramas de Helm que ponen en riesgo de ataques a los entornos de Kubernetes, que se resumen a continuación.

Apache Pinot: Expone los servicios principales (pinot-controller y pinot-broker) a través de los servicios LoadBalancer de Kubernetes sin autenticación.

Meshery: Se permite el registro público desde una IP expuesta, lo que permite a cualquiera registrarse y acceder a las operaciones del clúster.

Selenium Grid: Un NodePort expone el servicio en todos los nodos de un clúster, basándose únicamente en reglas de firewall externas para su protección. El problema no afecta al diagrama de Helm oficial, sino a muchos proyectos de GitHub ampliamente referenciados.

En cuanto a Selenium Grid, Wiz y otras empresas de ciberseguridad han observado previamente ataques dirigidos a instancias mal configuradas para implementar mineros XMRig y minar la criptomoneda Monero.

Para mitigar los riesgos, Microsoft recomienda revisar cuidadosamente la configuración predeterminada de los gráficos de Helm para evaluarla desde una perspectiva de seguridad, asegurándose de que incluya autenticación y aislamiento de red.

Además, se recomienda realizar análisis periódicos para detectar configuraciones incorrectas que expongan públicamente las interfaces de carga de trabajo y supervisar de cerca los contenedores para detectar actividad sospechosa.