Aqua 研究團(tuán)隊在一篇研究論文中表示，他們在公共存儲庫中發(fā)現(xiàn)了 Kubernetes 機(jī)密(secret)，這些機(jī)密允許訪問軟件開發(fā)生命周期 (SDLC) 中的敏感環(huán)境，并引發(fā)嚴(yán)重的供應(yīng)鏈攻擊威脅。

研究團(tuán)隊警告稱，涉及的公司包括SAP的Artifacts管理系統(tǒng)，擁有超過9500萬個工件，還有兩家頂級區(qū)塊鏈公司和其他一些財富500強(qiáng)公司。這些編碼的Kubernetes配置機(jī)密被上傳到了公共代碼庫中。

Kubernetes機(jī)密對于在開源容器編排環(huán)境中管理敏感數(shù)據(jù)至關(guān)重要。然而，這些機(jī)密通常以未加密的形式存儲在API服務(wù)器的底層數(shù)據(jù)存儲中，使其容易受到攻擊。

Aqua團(tuán)隊表示，他們專注于兩種類型的Kubernetes機(jī)密，即dockercfg和dockerconfigjson，這些機(jī)密存儲了訪問外部注冊表的憑證，并使用GitHub的API來識別意外上傳到公共代碼庫中的Kubernetes機(jī)密實例。目前，他們發(fā)現(xiàn)了數(shù)百個公共代碼庫中的實例，影響范圍涉及個人、開源項目和大型組織。

Aqua研究團(tuán)隊使用GitHub的API進(jìn)行搜索，以檢索包含.dockerconfigjson和.dockercfg的所有條目。初始查詢結(jié)果超過8000個，在進(jìn)一步的細(xì)化搜索——僅包括那些包含以base64編碼的用戶名和密碼值的記錄后，找到了438個可能包含有效憑證的記錄。其中203個記錄包含了提供對相應(yīng)注冊表訪問權(quán)限的有效憑證。在大多數(shù)情況下，這些憑證允許拉取和推送權(quán)限。

此外，Aqua團(tuán)隊發(fā)現(xiàn)在這些注冊表中經(jīng)常存在私有容器映像。并通知了相關(guān)組織有關(guān)暴露的機(jī)密和他們應(yīng)采取的措施。

Aqua團(tuán)隊表示，他們發(fā)現(xiàn)許多從業(yè)者有時會忽略從他們提交到GitHub公共代碼庫的文件中刪除機(jī)密，從而暴露敏感信息。“這些機(jī)密只需要一個base64解碼命令就可以以明文形式顯示出來，”研究人員警告稱。

在涉及暴露9500萬個工件的Artifacts倉庫中，Aqua表示，此Artifacts倉庫密鑰的暴露代表了重大的安全風(fēng)險。由此訪問可能帶來的潛在威脅包括專有代碼泄露、數(shù)據(jù)泄露和供應(yīng)鏈攻擊的風(fēng)險，所有這些都可能損害組織的完整性和客戶的安全。