Az alapértelmezett Kubernetes Helm chart-ok kockázata
A Microsoft 2025. május 5-én blogjában hívta fel a figyelmet a Kubernetes telepítések alapértelmezett konfigurációi által jelentett biztonsági kockázatokra, különösen azoknál, amelyek az out-of-the-box Helm chart-okat használják. Sok esetben ezek a Helm chart-ok nem igényelnek hitelesítést, kihasználható portokat hagynak nyitva, és gyenge vagy hardcoded jelszavakat használnak.
A Helm a széles körben használt Kubernetes csomagkezelője, a chart-ok pedig sablonok/blueprintek az alkalmazások telepítéséhez, amelyek olyan YAML fájlokat biztosítanak, amelyek meghatározzák az alkalmazás futtatásához szükséges kulcsfontosságú erőforrásokat. A Helm chartok azért népszerűek, mert egyszerűsítik és felgyorsítják az összetett telepítéseket. Ahogy azonban a Microsoft jelentésében kiemelte, sok esetben az ezekben a chart-okban szereplő alapértelmezett beállítások nem tartalmaznak megfelelő biztonsági intézkedéseket.
A Microsoft Defender for Cloud Research biztonsági kutatói, Michael Katchinskiy és Yossi Weizman által közzétett jelentés három esetet emel ki példakén, amivel felhívják a figyelmet egy szélesebb körű biztonsági problémára, amely veszélyeztetheti a Kubernetes workload-okat.
- Apache Pinot: Az alapvető szolgáltatásokat (pinot-controller és pinot-broker) a Kubernetes LoadBalancer szolgáltatásain keresztül teszi közzé, mindenféle hitelesítés nélkül.
- Meshery: Nyilvános bejelentkezés engedélyezett adott IP-ről, így bárki regisztrálhat és hozzáférhet a klaszterműveletekhez.
- Selenium Grid: A NodePort a szolgáltatást a cluster összes csomópontján keresztül teszi közzé, és csak a külső tűzfal szabályaira támaszkodik a védelem érdekében. A probléma nem érinti a hivatalos Helm chart-ot, de számos széles körben használt GitHub-projektet igen.
A kockázatok mérséklése érdekében javasolt felülvizsgálni a Helm chart-ok alapértelmezett konfigurációját, és értékelni azt biztonsági szempontból. Ezenkívül ajánlott rendszeres vizsgálatokat végezni a workload-ok hibás konfigurációinak azonosítása céljából, valamint monitorozni a konténereket a gyanús tevékenységek azonosítása érdekében.