The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.03.2018 22:07  Утечка параметров аутентификации через незащищённые серверы etcd

Исследователь безопасности Giovanni Collazo опубликовал результат анализа некорректно настроенных распределённых хранилищ etcd, принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.

Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.

Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch.

  1. Главная ссылка к новости (https://elweb.co/the-security-...)
  2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
  3. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  4. OpenNews: Незащищённые Hadoop-серверы отдают более 5 Пб данных без аутентификации
  5. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: etcd, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, AntonAlekseevich, 22:25, 25/03/2018 [ответить] [смотреть все]
  • –4 +/
    Мораль такова, надо нормально настраивать конфиги демонов А ещё лучше обкатыват... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 00:48, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Внезапный вывод Может поделишься с менее смышлёными, чем же так плох etcd на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 01:55, 26/03/2018 [^] [ответить] [смотреть все]  
  • +12 +/
    > чем же так плох etcd на «критических объектах»?

    Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.

    Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.

    Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.

    В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.

    Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).

    Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.

    Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.

    Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.

    Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.

    И всё повторится заново.

     
     
  • 4.25, Аноним, 04:23, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Полно протаколов не поддерживающих аудантифирацию и шифрование и что Если очень... весь текст скрыт [показать]
     
     
  • 5.58, XoRe, 16:04, 26/03/2018 [^] [ответить] [смотреть все]  
  • +9 +/
    > Полно протаколов не поддерживающих аудантифирацию и шифрование и что?

    Вы заставляете мои глаза кровоточить.

     
  • 4.27, Аноним, 05:03, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    etcd 8212 специализированное хранилище Его в основном используют для взаимод... весь текст скрыт [показать]
     
     
  • 5.37, Moomintroll, 10:56, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Puppet Ansible Chef Saltstack ... весь текст скрыт [показать]
     
     
  • 6.41, Аноним, 13:12, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А плейбуки с паролями будут на гитхабе лежать?
     
     
  • 7.42, kazh, 13:43, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    А плейбуки умеют генерить пароли.
     
     
  • 8.44, Аноним, 14:05, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Пересобирать весь кластер ежемесячно ради смены пароля?
     
     
  • 9.75, mogwai, 07:16, 27/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Или использовать лдап и цербера
     
  • 7.68, angra, 21:14, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    8220 Vault 8221 is a feature of ansible that allows keeping sensitive data s... весь текст скрыт [показать]
     
  • 5.47, пох, 14:17, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    в этом месте обычно поднимают табличку BULLSHIT три слова совпали,ага посколь... весь текст скрыт [показать]
     
  • 5.76, Аноним, 07:45, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    В hashicorp эту проблему помешали, но красношляпа такая шляпа
     
  • 4.85, Аноним, 14:43, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ничего этого не будет Я просто посмеюсь с очередного дурачка, списавшего удобны... весь текст скрыт [показать]
     
  • 3.90, AntonAlekseevich, 14:02, 05/04/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    > Внезапный вывод.

    Это не внезапный выход, а перенос "Театра безопасности" в компьютерную сферу.
    На фоне недавних событий определение "Театр безопасности" так и остается театром. То что я написал это вредно для действия, а не как руководство сделать себе инфраструктуру безопаснее в угоду юзабильности.

    А те негативные комментарии оставленные ниже это комментарии тех людей которые восприняли моё сообщение буквально плюсом люди поставившие минуса тоже восприняли сообщение буквально, а не как вредный совет.

     
  • 2.24, Аноним, 04:21, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    мораль такова Нужно включить фаервол на блокирование всех входящих соединений к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Crazy Alex, 14:14, 26/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Причём этой морали лет 20 уже как минимум А дле некоторых оно до сих пор не оче... весь текст скрыт [показать]
     
     
  • 4.62, anonymous, 17:07, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Это понятно Но куча серверного софта становится не нужна при таком раскладе То... весь текст скрыт [показать]
     
  • 4.69, angra, 21:20, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипс... весь текст скрыт [показать]
     
     
  • 5.84, Аноним, 14:37, 27/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Нужно было всегда, и 10 лет тому, и 20, и 500 До идеи 171 кого надо пущать, о... весь текст скрыт [показать]
     
     
  • 6.86, angra, 16:34, 27/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    Попробуй обосновать Или ты привык следовать догмам, а не пользоваться мозгом П... весь текст скрыт [показать]
     
  • 3.49, пох, 14:17, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    еще лет через двадцать ты поймешь, что и исходящих тоже ... весь текст скрыт [показать]
     
  • 2.88, Легион, 23:05, 28/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    etcd supports SSL TLS as well as authentication through client certificates, bot... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Анотоним, 22:29, 25/03/2018 [ответить] [смотреть все]  
  • –22 +/
    Он русские сервра проанализировал Давайте пригласим на семинар Статья 272 УК Р... весь текст скрыт [показать]
     
     
  • 2.3, Crazy Alex, 22:32, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +21 +/
    Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
     
     
  • 3.5, ага, 22:52, 25/03/2018 [^] [ответить] [смотреть все]  
  • +10 +/
    Таков типичный девопс
     
     
  • 4.21, vantoo, 01:21, 26/03/2018 [^] [ответить] [смотреть все]  
  • +4 +/
    Тогда нечего удивляться Новомодные хипстеры-девопсы это такие мартышки, которые... весь текст скрыт [показать]
     
     
  • 5.39, Аноним, 12:25, 26/03/2018 [^] [ответить] [смотреть все]  
  • –3 +/
    удалить и накатать образ стоит 15 минут и 2 бакса на админа, разобраться что же ... весь текст скрыт [показать]
     
     
  • 6.50, пох, 14:19, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство д... весь текст скрыт [показать]
     
     
  • 7.63, anonymous, 17:09, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Через пару месяцев про этот бизнес никто не вспомнит А банкротство - это част... весь текст скрыт [показать]
     
  • 5.45, Crazy Alex, 14:12, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ну я вот более вменяемых вижу. А здесь карикатура какая-то
     
  • 3.7, anonymous, 23:24, 25/03/2018 [^] [ответить] [смотреть все]  
  • +3 +/
    Это он намекает на то, что исследователь безопасности у нас рискует присесть По... весь текст скрыт [показать]
     
     
  • 4.13, pavlinux, 00:28, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Ну не присесть, но объяснительную напишешь ... весь текст скрыт [показать]
     
     
  • 5.28, anonymous, 08:56, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    Лет 10 назад может быть. Сейчас уже не уверен.
     
  • 4.71, Анотоним, 21:46, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по... весь текст скрыт [показать]
     
  • 2.6, Аноним, 23:18, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Поэтому надо оставаться анонимом Слишком много сброда всякого кругом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, YetAnotherOnanym, 04:37, 26/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Кагбэ, именно что было рекурсивный запрос всех ключей GET http ... весь текст скрыт [показать]
     
     
  • 4.43, Аноним, 13:48, 26/03/2018 [^] [ответить] [смотреть все]  
  • –3 +/
    Запрос ключей чтобы посчитать статистику.
     
  • 2.9, IRASoldier, 23:27, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не им... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, anonymous, 23:56, 25/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Ты прям Америку переоткрыл Статей уголовных вагон Поэтому любая деятельность, ... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 00:38, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарн... весь текст скрыт [показать]
     
     
  • 5.23, anon66, 03:30, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    если хотите разобраться ищите яхве против баала как осилите копайте дальше в... весь текст скрыт [показать]
     
     
  • 6.38, IRASoldier, 11:19, 26/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов... весь текст скрыт [показать]
     
  • 5.29, anonymous, 08:59, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Какая есть. Никто же не виноват, что людишки не могут без регулирования.


     
     
  • 6.33, anonymous, 10:13, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    да да да
     
     
  • 7.34, anonymous, 10:14, 26/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Я  так думаю!
     
  • 3.12, Аноним, 00:06, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    может, появились какие-то надежные средства у крыши не может же быть человеку... весь текст скрыт [показать]
     
  • 3.36, amonymous, 10:15, 26/03/2018 [^] [ответить] [смотреть все]  
  • +2 +/
    Тычо Это щаз не модно, и без смузи Контейнерчик в докере запилил - и хорошо ... весь текст скрыт [показать]
     
  • 2.32, Sindzicat, 09:37, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
     
     
  • 3.51, Аноним, 14:22, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих ве... весь текст скрыт [показать]
     
  • 3.64, anonymous, 17:34, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Начнём, с того, что домушники стимулируют людишек хранить деньги в банках Поэто... весь текст скрыт [показать]
     
  • 1.30, рыба ест людей, 09:25, 26/03/2018 [ответить] [смотреть все]  
  • –1 +/
    а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
     
     
  • 2.52, пох, 14:24, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    вы никуда не годный хипстер, не видать вам халявных монерок Через etcd нужно ра... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Нанобот, 09:34, 26/03/2018 [ответить] [смотреть все]  
  • –1 +/
    имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
     
  • 1.35, amonymous, 10:15, 26/03/2018 [ответить] [смотреть все]  
  • –2 +/
    Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
     
  • 1.40, Аноним, 12:34, 26/03/2018 [ответить] [смотреть все]  
  • +4 +/
    Новость срочно в номер Если приехать на парковку у супермаркета и оставить маш... весь текст скрыт [показать]
     
     
  • 2.48, Crazy Alex, 14:17, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В основном ругаются потому что доступы режут совершенно невменяемо и не предоста... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, пох, 16:26, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс ... весь текст скрыт [показать]
     
  • 2.53, Аноним, 14:30, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    дружище, новость-то не об этом если бы все так делали, я бы давно на работу не ... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, anonymouse, 15:40, 26/03/2018 [ответить] [смотреть все]  
  • +/
    Оо, жаркий спор ansible-docker хомячков. Лол.
     
     
  • 2.60, freehck, 16:32, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    А что не так с ansible?
     
     
  • 3.61, MoronDude, 16:50, 26/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочк... весь текст скрыт [показать]
     
     
  • 4.70, angra, 21:35, 26/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ansible это инструмент, как нож или топор Если его использует умный человек, то... весь текст скрыт [показать]
     
     
  • 5.72, нах, 22:24, 26/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    умным не нужен ansible - они создают свой Заточенный строго под их задачи И эт... весь текст скрыт [показать]
     
     
  • 6.73, MoronDude, 02:10, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Согласен Если нужно настроить новые сервера с одинаковой конфигурацие можно вос... весь текст скрыт [показать]
     
     
  • 7.77, foobar, 07:55, 27/03/2018 [^] [ответить] [смотреть все]  
  • –2 +/
    Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному ... весь текст скрыт [показать]
     
     
  • 8.80, забыл_пароль_от_тигар, 09:29, 27/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    только почему-то зовут именно их оттуда, когда девопсики обосpались и щас конте... весь текст скрыт [показать]
     
     
  • 9.81, ыы, 09:32, 27/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    не, этих не зовут нафиг они нужны если ansible не знают пусть продолжают лок... весь текст скрыт [показать]
     
  • 7.79, ыы, 09:25, 27/03/2018 [^] [ответить] [смотреть все]  
  • +1 +/
    ansible -это такой, своеобразный ну какой есть аналог групповых политик от ... весь текст скрыт [показать]
     
     
  • 8.87, MoronDude, 17:00, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Я по большей части троил Но если серьезно то автомацией не все проблемы решаютс... весь текст скрыт [показать]
     
     
  • 9.89, Легион, 23:21, 28/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками манифе... весь текст скрыт [показать]
     
  • 7.83, angra, 13:00, 27/03/2018 [^] [ответить] [смотреть все]  
  • +/
    Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от раз... весь текст скрыт [показать]
     
  • 6.82, angra, 12:56, 27/03/2018 [^] [ответить] [смотреть все]  
  • –1 +/
    И это тоже Но только если задачу действительно неудобно решать имеющимися инстр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor