A alguien se le ocurrió auditar Kubernetes y encontró decenas de vulnerabilidades…

La Cloud Native Computing Foundation (CNCF) hizo de conocimiento publico hace unos días, los resultados de una auditoría de seguridad a Kubernetes, el popular software de orquestación de contenedores, ampliamente difundido, y los hallazgos han puesto los pelos de punta a más de uno.

El CNCF contrató a dos firmas de seguridad, Trail of Bits y Atredis Partners, que hurgaron en el código de Kubernetes durante un periodo de cuatro meses. Las compañías analizaron los componentes de Kubernetes involucrados en redes, criptografía, autenticación, autorización, gestión de claves y multicliente.

Habiendo identificado 34 vulnerabilidades: 4 de alta gravedad, 15 de gravedad media, 8 de baja gravedad y 7 de gravedad informativa, el informe de Trail of Bits aconseja a los desarrolladores de proyectos que confíen más en bibliotecas estándar, para evitar analizadores personalizados y sistemas de configuración especializados, a elegir «valores predeterminados».

«El equipo de evaluación encontró que la configuración y el despliegue de Kubernetes, ya que ciertos componentes tienen configuraciones predeterminadas, faltan controles operativos y controles de seguridad diseñados implícitamente. Además, el estado de la base de código de Kubernetes tiene mucho margen de mejora».

Como señaló el CNCF, los auditores de seguridad encontraron: inconsistencias en la aplicación de políticas, que crean un falso sentido de seguridad; TLS inseguro utilizado valores por defecto; variables de entorno y argumentos de línea de comandos que revelan credenciales; la seguridad puede verse comprometida en los registros; no es compatible con la revocación de certificados, y seccomp (un mecanismo de filtrado de llamadas del sistema en el kernel de Linux) no está activado de manera predeterminada.

Los reportes incluyen consejos para los administradores de como no utilizar tanto los controles de acceso basados ​​en roles, como los controles de acceso basados ​​en atributos, debido a la posibilidad de otorgar permisos inadvertidos si uno de estos falla.

También incluyen varias recomendaciones y mejores prácticas para que los desarrolladores las sigan mientras continúan haciendo contribuciones a Kubernetes.

En un correo electrónico a The Register, Chris Aniszczyk, CTO y COO de CNCF, expresó su satisfacción con el proceso de auditoría. «Consideramos positivamente que todo el proceso fue manejado de manera transparente por los miembros del Grupo de trabajo de Auditoría de Seguridad de Kubernetes, desde la selección de un proveedor hasta el trabajo con el proyecto inicial«, dijo. «No conozco ninguna otra organización de código abierto que haya compartido y publicado el proceso completo en torno a una auditoría de seguridad y sus resultados. La transparencia genera confianza en las comunidades de código abierto, especialmente en torno a la seguridad«.

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *