Microsoft advierte sobre riesgos en configuraciones por defecto de Kubernetes

Microsoft ha emitido una advertencia crítica sobre los riesgos de seguridad asociados a las configuraciones predeterminadas en Kubernetes, especialmente en aquellas implementaciones que utilizan Helm Charts listos para usar. Según un reciente informe de Microsoft Defender for Cloud Research, estas configuraciones inseguras podrían exponer datos sensibles públicamente, dejando las cargas de trabajo vulnerables ante posibles ataques.

Helm Charts inseguros: un problema común en Kubernetes

Helm es el gestor de paquetes más popular para Kubernetes, ya que facilita la implementación de aplicaciones complejas mediante gráficos o "charts" que contienen plantillas YAML con los recursos necesarios para ejecutar una aplicación.

Sin embargo, la facilidad de uso puede comprometer la seguridad. Investigadores de Microsoft, Michael Katchinskiy y Yossi Weizman, advierten que muchos de estos Helm Charts prediseñados:

• No requieren autenticación.
• Dejan abiertos puertos explotables.
• Usan contraseñas débiles o codificadas de forma insegura.

Estas prácticas inseguras son especialmente peligrosas cuando las implementaciones se realizan por usuarios sin experiencia en seguridad en la nube, quienes tienden a desplegar los charts tal como están, sin validaciones ni ajustes de configuración. Esto deja los servicios expuestos a escaneos automatizados, accesos no autorizados y ataques dirigidos.

"Facilidad vs Seguridad": el dilema en entornos Kubernetes

Kubernetes es una plataforma de código abierto ampliamente adoptada por organizaciones para automatizar la implementación, escalado y gestión de aplicaciones en contenedores. Si bien Helm simplifica este proceso, Microsoft subraya que las configuraciones por defecto sin controles de seguridad representan una amenaza seria.

Citar"Sin revisar cuidadosamente los manifiestos YAML y los Helm Charts, las organizaciones pueden implementar servicios totalmente expuestos a atacantes", señala el informe.

Además, cuando estas aplicaciones permiten la consulta de API sensibles o acceso administrativo, las consecuencias pueden ser graves. Los investigadores detallan tres ejemplos reales de gráficos de Helm inseguros que ilustran este riesgo:

Casos destacados de Helm Charts con vulnerabilidades:

1. Apache Pinot

Expone los servicios pinot-controller y pinot-broker mediante un LoadBalancer, sin autenticación.

2. Meshery

Permite el registro público desde IPs expuestas, dando acceso total al clúster a cualquier usuario externo.

3. Selenium Grid

Usa un NodePort que expone servicios en todos los nodos del clúster, dependiendo únicamente de reglas externas de firewall. Aunque el gráfico oficial de Helm no está afectado, muchos proyectos en GitHub sí lo están.

Este último caso ha sido explotado anteriormente por atacantes para desplegar mineros de criptomonedas como XMRig, usados para minar Monero en entornos Kubernetes vulnerables, según han reportado empresas como Wiz.

Recomendaciones de Microsoft para asegurar Helm y Kubernetes

Para mitigar estos riesgos, Microsoft recomienda a los administradores de Kubernetes adoptar las siguientes mejores prácticas de seguridad:

Auditar cada Helm Chart antes de la implementación, prestando especial atención a:

• Reglas de autenticación.
• Exposición de puertos.
• Aislamiento de red.
• Evitar el uso de contraseñas por defecto o codificadas dentro de los manifiestos YAML.
• Configurar controles de acceso estrictos para los recursos desplegados.
• Supervisar continuamente los contenedores y cargas de trabajo en busca de actividades sospechosas o inusuales.
• Realizar análisis periódicos de configuración para detectar exposiciones no intencionadas en interfaces y servicios.

Seguridad en Kubernetes: una prioridad en entornos en la nube

El informe de Microsoft destaca la importancia de no confiar ciegamente en las configuraciones predeterminadas, especialmente en entornos como Kubernetes, donde la exposición de servicios puede tener consecuencias críticas. Las organizaciones deben tratar cada despliegue como una potencial superficie de ataque y aplicar principios de "zero trust" desde el inicio.

La creciente adopción de Kubernetes en entornos de producción hace imprescindible implementar políticas de seguridad sólidas. Ignorar los riesgos que suponen configuraciones inseguras en Helm Charts podría significar la pérdida de datos confidenciales, la interrupción del servicio o incluso costos económicos y reputacionales significativos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta