5 月 6 日消息,科技媒体 bleepingcomputer 昨日(5 月 5 日)发布博文,报道称微软示警称 Kubernetes 部署中的默认配置存在严重安全隐患,尤其是使用现成的 Helm charts 时,可能导致敏感数据公开发布。
注:Kubernetes 是一个广受欢迎的开源平台,用于自动化部署、扩展和管理容器化应用。而 Helm 是包管理工具,通过 charts(即部署模板)简化了复杂应用的部署流程。
微软 Defender for Cloud Research 的研究人员 Michael Katchinskiy 和 Yossi Weizman 警告⚠️称,许多 Helm charts 的默认设置缺乏必要的安全措施。用户若不具备云安全经验,直接使用这些默认配置,可能无意中将服务暴露于『互联网』,方便攻击者扫描并利用漏洞。
微软报告中列举了三个典型案例,揭示 Helm charts 的安全问题:
- Apache Pinot 的 Helm chart 通过 Kubernetes LoadBalancer 服务暴露核心组件(如 pinot-controller 和 pinot-broker),且未设置任何身份验证。
- Meshery 可以通过暴露的 IP 公开注册,任何人均可获取集群操作权限。
- Selenium Grid 通过 NodePort 在集群所有节点上暴露服务,仅依赖外部防火墙保护,
尽管官方 Helm chart 无此问题,但许多 GitHub 项目存在类似隐患。此外,Wiz 等网络安全公司曾发现攻击者利用 Selenium Grid 的配置错误部署 XMRig 矿工,挖掘 Monero 加密货币。
微软强烈建议用户从安全角度仔细审查 Helm charts 的默认配置,确保包含身份验证和网络隔离措施。同时,建议定期扫描公开暴露的工作负载接口,密切监控容器中的可疑活动。
研究人员强调,若不仔细检查 YAML 文件和 Helm charts,企业可能在无保护状态下部署服务,完全暴露于攻击者威胁之下。
