Container-Gefahr in der Cloud
Der Bericht stellt uneingeschränkten Zugriff auf Kubernetes-Dashboards sowie Klartext-Anmeldeinformationen für andere kritische Infrastrukturen in öffentlichen Cloud-Umgebungen fest.
Die meisten Menschen schließen ihre Türen ab – zumindest, wenn sie nicht zu Hause sind. Schließlich möchte niemand nach Hause kommen und jemanden auf der Couch liegen sehen, der Netflix guckt und die Algorithmen, die bestimmen, was in der „empfohlenen Liste“ angezeigt wird, völlig zerstört, indem er ein Genre anschaut, das man selbst niemals schauen würde. Stellen Sie sich den Horror vor.
Daher mag es Sie überraschen, dass der Kriminalstatistik zufolge etwa 30 % aller Einbrecher offene oder unverschlossene Fenster oder Türen nutzen.
Wenn wir unsere Aufmerksamkeit auf Technologie richten, zeigen sich ähnliche „offene Fenster und Türen“ in einem aktuellen Bericht des RedLock CSI-Teams. RedLock ist eine cloudbasierte, API-gestützte Plattform zur Überwachung der Infrastruktursicherheit, die Ihnen volle Transparenz über Ihre Cloud-Umgebung bietet. Man kann es sich vorstellen wie ADT für die Cloud. Der jüngste Bericht stützt sich auf die Analyse der Umgebungen von Kunden. Wir haben über eine Million Ressourcen bewertet, die 12 Petabyte Netzwerkverkehr verarbeiten. Dabei sind zahlreiche sicherheitsrelevante Probleme aufgefallen, doch eins hat meine Aufmerksamkeit besonders auf sich gezogen:
285 Kubernetes-Dashboards (webbasierte Verwaltungsoberfläche), die auf Amazon Web Services (AWS), Microsoft Azure und Google Cloud Platform bereitgestellt wurden und nicht passwortgeschützt waren. Bei weiteren Untersuchungen fand das Team Klartext-Anmeldeinformationen zu anderen kritischen Infrastrukturen innerhalb der Kubernetes-Systeme. [Hervorhebung von mir]
Die Entdeckung der Anmeldeinformationen im Klartext ist leider keine Überraschung. Sie erinnern sich vielleicht, dass dieses Thema Anfang 2016 angesprochen wurde, als wir „ Die neue Insider-Bedrohung“ diskutierten: Automatisierungs-Frameworks .“ Wenn Sie die Vordertür offen lassen, kann die Verwendung von Klartext-Anmeldeinformationen zur Autorisierung von Aktivitäten in Containerumgebungen leider eine ebenso große Bedrohung von außen wie von innen darstellen.
Nun könnten wir argumentieren, dass diese weit geöffneten Dashboards möglicherweise nicht kritisch und wahrscheinlich nicht einmal produktionsbezogen waren. Es handelt sich doch nur um Test- oder Entwicklungsaufgaben, oder? Sie dienten als POC für die spätere Containerisierung von Apps, die einfach vergessen oder nicht als Bedrohung angesehen wurden. Wir wissen jedoch, dass derartige unkontrollierte Umgebungen in der Cloud zur Ausbreitung der Cloud beitragen , die wiederum Budgets aufzehrt und andere Risiken mit sich bringt als etwa den ungehinderten Zugriff auf ein System, dem man mit einem einzigen Mausklick den Befehl geben kann, zahllose Systeme hochzufahren.
Der Bericht zeigt außerdem, dass „14 % der Benutzerkonten inaktiv sind, bei denen die Anmeldedaten zwar aktiv sind, aber in den letzten 90 Tagen keine Anmeldung erfolgte“. Das beweist eindeutig, dass viele Ressourcen in der Cloud unverwaltet bleiben – und ihre Aktivitäten vermutlich nicht überwacht werden.
Das Risiko erhöht sich, wenn auch nur eine Tür oder ein Fenster unverschlossen bleibt. Bei der physischen Sicherheit geht es im Allgemeinen darum, dass Übeltäter Ihre Tür physisch testen müssen, um ihren Status festzustellen. Das bedeutet körperlichen Zeit- und Arbeitsaufwand. In der digitalen Welt gibt es diese Anforderung nicht mehr. Ich kann Ihre Systeme mit einem Skript scannen und mir innerhalb von Sekunden eine Nachricht mit einer Liste aller Systeme senden lassen, die ausgeführt werden und für den Zugriff geöffnet sind. Die Eintrittsbarriere beim digitalen Einbruch ist niedriger und daher ist es noch gefährlicher, auch nur eine einzige Tür offen zu lassen.
Die langsame, aber stetige Migration zu Cloud-basierten Umgebungen hat Auswirkungen auf viele Aspekte der IT. Ein Aspekt, den wir selten erwähnen, ist die Verwaltung. Aber das sollten wir tun, insbesondere da die meisten davon heutzutage über eine webbasierte Schnittstelle bereitgestellt werden und jedem, der danach sucht, einen einfachen Zugriff über Port 80 bieten. Das bedeutet, dass der Sicherheit von Verwaltungskonsolen und Dashboards Priorität eingeräumt werden muss. Diese Systeme basieren auf standardmäßigen Webkomponenten, von denen viele dieselben Sicherheitsmängel aufweisen wie ihre benutzerorientierten Gegenstücke. Egal, ob es sich um Cross-Site-Scripting oder SQLi, Standardkennwörter oder Hintertürchen handelt, wir müssen (und das ist ein MUSS im RFC-Stil) Zeit und Budget für das Testen und Sichern der Verwaltungsseite der Systeme und Umgebungen aufwenden, die wir zum Bereitstellen unserer Apps verwenden.
Wir sprechen hier nicht von einem „neuen“ Sicherheitsparadigma, sondern von der grundlegenden Sicherheit von Webanwendungen. Den Zugriff auf Webanwendungen zu sperren, ist eine Praxis, die wir mittlerweile seit fast zwanzig Jahren praktizieren. Das ist allgemein bekannt und wir sollten es nicht einfach ignorieren, nur weil es sich nur um Entwicklung oder einen Test handelt.
Ein Einbrecher – ob digital oder nicht – braucht nur eine offene Tür, um sich Zugang zu Ihrem gesamten Haus zu verschaffen. Und die Folgen einer Digitalisierung verbreiten sich dank der Technologie und der Leichtigkeit, mit der wir verbundene Systeme scannen, in sie eindringen und darauf zugreifen können, weiter und schneller.
Passen Sie da draußen auf sich auf. Ignorieren Sie nicht die Sicherheit Ihrer Verwaltungskonsolen und -systeme.