The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

25.03.2018 22:07  Утечка параметров аутентификации через незащищённые серверы etcd

Исследователь безопасности Giovanni Collazo опубликовал результат анализа некорректно настроенных распределённых хранилищ etcd, принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб данных.

Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов, изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes. Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.

Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch.

  1. Главная ссылка к новости (https://elweb.co/the-security-...)
  2. OpenNews: Выпуск распределенной системы хранения конфигурации etcd 3.3
  3. OpenNews: Следом за MongoDB начались атаки на CouchDB, Hadoop и ElasticSearch
  4. OpenNews: Незащищённые Hadoop-серверы отдают более 5 Пб данных без аутентификации
  5. OpenNews: Зафиксировано использование Memcached в качестве усилителя трафика для DDoS-атак
  6. OpenNews: Число серверов MongoDB, поражённых шифровальщиком, увеличилось до 28 тысяч
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: etcd, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Показать все | RSS
 
  • 1.1, AntonAlekseevich, 22:25, 25/03/2018 [ответить] [смотреть все]     [к модератору]
  • –4 +/
    Мораль такова, надо нормально настраивать конфиги демонов А ещё лучше обкатыват... весь текст скрыт [показать]
     
     
  • 2.19, Аноним, 00:48, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    Внезапный вывод Может поделишься с менее смышлёными, чем же так плох etcd на ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 01:55, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +12 +/
    > чем же так плох etcd на «критических объектах»?

    Тем, что до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию аутентификация отключена.

    Практически наверняка есть ещё какие-то проблемы, не с безопасностью, так с надёжностью.

    Теперь вы попросите ткнуть вас носом в эти проблемы, чтобы убедиться, что я не пустомеля.

    В ответ я пробормочу что-то невнятное. Возможно, честно признаюсь, что об etcd слышу исключительно из новостей типа этой. Возможно, скажу, что всё современное хипстерское, коим является и etcd, вообще не ориентировано ни на стабильность, ни на безопасность, а рассчитано лишь на пересоздание с нуля виртуалки в случае любых проблем.

    Объясню, что по финансовым/политическим/маркетинговым причинам авторам надо быстрее и больше, а потому в таком софте априори отсутствуют особенности систем (безопасность, надёжность, отлаженность), требующие при разработке длительного погружения в какой-то аспект (анализ, продумывание, изучение вариантов, хотя бы минимальное изучение предметной области) без достижения видимого для инвестора результата (функционала, который можно потыкать).

    Вы, конечно, на эти оправдания не поведётесь и будете правы: ведь раз на ошибку вам не могу указать я, значит её и вовсе нет.

    Через какое-то время (от нескольких месяцев до пары лет) появится похожая новость об уязвимости.

    Вы опять напишите традиционное "не бывает софта без глупых ошибок" и пойдёте пересоздавать образы виртуалок.

    Кто-то на форуме вам напишет, что ЭТО не предназначено для использования в продакшне и делать этого не стоит.

    И всё повторится заново.

     
     
  • 4.25, Аноним, 04:23, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Полно протаколов не поддерживающих аудантифирацию и шифрование и что Если очень... весь текст скрыт [показать]
     
     
  • 5.58, XoRe, 16:04, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +9 +/
    > Полно протаколов не поддерживающих аудантифирацию и шифрование и что?

    Вы заставляете мои глаза кровоточить.

     
  • 4.27, Аноним, 05:03, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    etcd 8212 специализированное хранилище Его в основном используют для взаимод... весь текст скрыт [показать]
     
     
  • 5.37, Moomintroll, 10:56, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Puppet Ansible Chef Saltstack ... весь текст скрыт [показать]
     
     
  • 6.41, Аноним, 13:12, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +1 +/
    А плейбуки с паролями будут на гитхабе лежать?
     
     
  • 7.42, kazh, 13:43, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    А плейбуки умеют генерить пароли.
     
     
  • 8.44, Аноним, 14:05, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Пересобирать весь кластер ежемесячно ради смены пароля?
     
     
  • 9.75, mogwai, 07:16, 27/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Или использовать лдап и цербера
     
  • 7.68, angra, 21:14, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    8220 Vault 8221 is a feature of ansible that allows keeping sensitive data s... весь текст скрыт [показать]
     
  • 5.47, пох, 14:17, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    в этом месте обычно поднимают табличку BULLSHIT три слова совпали,ага посколь... весь текст скрыт [показать]
     
  • 5.76, Аноним, 07:45, 27/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    В hashicorp эту проблему помешали, но красношляпа такая шляпа
     
  • 4.85, Аноним, 14:43, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ничего этого не будет Я просто посмеюсь с очередного дурачка, списавшего удобны... весь текст скрыт [показать]
     
  • 3.90, AntonAlekseevich, 14:02, 05/04/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Это не внезапный выход, а перенос Театра безопасности в компьютерную сферу На... весь текст скрыт [показать]
     
  • 2.24, Аноним, 04:21, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    мораль такова Нужно включить фаервол на блокирование всех входящих соединений к... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.46, Crazy Alex, 14:14, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Причём этой морали лет 20 уже как минимум А дле некоторых оно до сих пор не оче... весь текст скрыт [показать]
     
     
  • 4.62, anonymous, 17:07, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Это понятно Но куча серверного софта становится не нужна при таком раскладе То... весь текст скрыт [показать]
     
  • 4.69, angra, 21:20, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Не знаю как 20, но 10 лет назад это было не особо нужно на линуксе, так как хипс... весь текст скрыт [показать]
     
     
  • 5.84, Аноним, 14:37, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Нужно было всегда, и 10 лет тому, и 20, и 500 До идеи 171 кого надо пущать, о... весь текст скрыт [показать]
     
     
  • 6.86, angra, 16:34, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    Попробуй обосновать Или ты привык следовать догмам, а не пользоваться мозгом П... весь текст скрыт [показать]
     
  • 3.49, пох, 14:17, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    еще лет через двадцать ты поймешь, что и исходящих тоже ... весь текст скрыт [показать]
     
  • 2.88, Легион, 23:05, 28/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    etcd supports SSL TLS as well as authentication through client certificates, bot... весь текст скрыт [показать] [показать ветку]
     
  • 1.2, Анотоним, 22:29, 25/03/2018 [ответить] [смотреть все]     [к модератору]  
  • –22 +/
    Он русские сервра проанализировал Давайте пригласим на семинар Статья 272 УК Р... весь текст скрыт [показать]
     
     
  • 2.3, Crazy Alex, 22:32, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +21 +/
    Кхм, какой коллекционный экземпляр. И что ж такое админишь, родимый, что взбеленился? Обидно, что носом ткнули в твою же дурость?
     
     
  • 3.5, ага, 22:52, 25/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +10 +/
    Таков типичный девопс
     
     
  • 4.21, vantoo, 01:21, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Тогда нечего удивляться Новомодные хипстеры-девопсы это такие мартышки, которые... весь текст скрыт [показать]
     
     
  • 5.39, Аноним, 12:25, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –3 +/
    удалить и накатать образ стоит 15 минут и 2 бакса на админа, разобраться что же ... весь текст скрыт [показать]
     
     
  • 6.50, пох, 14:19, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    угу, а когда залетевший дятел все это разрушит - бизнес объявляет банкротство д... весь текст скрыт [показать]
     
     
  • 7.63, anonymous, 17:09, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    Через пару месяцев про этот бизнес никто не вспомнит А банкротство - это част... весь текст скрыт [показать]
     
  • 5.45, Crazy Alex, 14:12, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • +/
    Ну я вот более вменяемых вижу. А здесь карикатура какая-то
     
  • 3.7, anonymous, 23:24, 25/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +3 +/
    Это он намекает на то, что исследователь безопасности у нас рискует присесть По... весь текст скрыт [показать]
     
     
  • 4.13, pavlinux, 00:28, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ну не присесть, но объяснительную напишешь ... весь текст скрыт [показать]
     
     
  • 5.28, anonymous, 08:56, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    Лет 10 назад может быть. Сейчас уже не уверен.
     
  • 4.71, Анотоним, 21:46, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Есть разница, исследовать безопасность по заказу владельца инфраструктуры ИЛИ по... весь текст скрыт [показать]
     
  • 2.6, Аноним, 23:18, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +5 +/
    Поэтому надо оставаться анонимом Слишком много сброда всякого кругом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, YetAnotherOnanym, 04:37, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Кагбэ, именно что было рекурсивный запрос всех ключей GET http ... весь текст скрыт [показать]
     
     
  • 4.43, Аноним, 13:48, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –3 +/
    Запрос ключей чтобы посчитать статистику.
     
  • 2.9, IRASoldier, 23:27, 25/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    Лучшая защита хранилища данных - запрет начальства доступаться к хранилищу не им... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, anonymous, 23:56, 25/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Ты прям Америку переоткрыл Статей уголовных вагон Поэтому любая деятельность, ... весь текст скрыт [показать]
     
     
  • 4.17, Аноним, 00:38, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    А можно как-нибиудь на тянуть в наш инженерно-технический мир все это гуманитарн... весь текст скрыт [показать]
     
     
  • 5.23, anon66, 03:30, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    если хотите разобраться ищите яхве против баала как осилите копайте дальше в... весь текст скрыт [показать]
     
     
  • 6.38, IRASoldier, 11:19, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    когда вместо мануалов по сетевым протоколам курил протоколы сионских мудрецов... весь текст скрыт [показать]
     
  • 5.29, anonymous, 08:59, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Какая есть. Никто же не виноват, что людишки не могут без регулирования.


     
     
  • 6.33, anonymous, 10:13, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    да да да
     
     
  • 7.34, anonymous, 10:14, 26/03/2018 [^] [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Я  так думаю!
     
  • 3.12, Аноним, 00:06, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    может, появились какие-то надежные средства у крыши не может же быть человеку... весь текст скрыт [показать]
     
  • 3.36, amonymous, 10:15, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +2 +/
    Тычо Это щаз не модно, и без смузи Контейнерчик в докере запилил - и хорошо ... весь текст скрыт [показать]
     
  • 2.32, Sindzicat, 09:37, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    Простите, вы когда уходите, дом не запираете? Если запираете, то почему?
     
     
  • 3.51, Аноним, 14:22, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    иначе ты можешь нечаянно зайти, исключительно в целях сбора статистики о моих ве... весь текст скрыт [показать]
     
  • 3.64, anonymous, 17:34, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Начнём, с того, что домушники стимулируют людишек хранить деньги в банках Поэто... весь текст скрыт [показать]
     
  • 1.30, рыба ест людей, 09:25, 26/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    а майнить через etcd можно? говорят, сейчас только ради этого и ломают сервера.
     
     
  • 2.52, пох, 14:24, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • –1 +/
    вы никуда не годный хипстер, не видать вам халявных монерок Через etcd нужно ра... весь текст скрыт [показать] [показать ветку]
     
  • 1.31, Нанобот, 09:34, 26/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –1 +/
    имхо, если придумать любую ошибку конфигурации, а потом просканировать 0.0.0.0/0 на её наличие, всегда можно найти тысячи хостов, где эта ошибка имеет место.
     
  • 1.35, amonymous, 10:15, 26/03/2018 [ответить] [смотреть все]    [к модератору]  
  • –2 +/
    Жесть блин. Все вот эти вот монго-редисы-этцды - это ж стильно-модный-молодёжный девопс. Таки лучше переесть, чем недоспать.
     
  • 1.40, Аноним, 12:34, 26/03/2018 [ответить] [смотреть все]     [к модератору]  
  • +4 +/
    Новость срочно в номер Если приехать на парковку у супермаркета и оставить маш... весь текст скрыт [показать]
     
     
  • 2.48, Crazy Alex, 14:17, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +/
    В основном ругаются потому что доступы режут совершенно невменяемо и не предоста... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.59, пох, 16:26, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    угу, в результате - по джампхосту на каждой кастрюле, имеющей внешний интерфейс ... весь текст скрыт [показать]
     
  • 2.53, Аноним, 14:30, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]     [к модератору]  
  • +2 +/
    дружище, новость-то не об этом если бы все так делали, я бы давно на работу не ... весь текст скрыт [показать] [показать ветку]
     
  • 1.57, anonymouse, 15:40, 26/03/2018 [ответить] [смотреть все]    [к модератору]  
  • +/
    Оо, жаркий спор ansible-docker хомячков. Лол.
     
     
  • 2.60, freehck, 16:32, 26/03/2018 [^] [ответить] [смотреть все] [показать ветку]    [к модератору]  
  • +/
    А что не так с ansible?
     
     
  • 3.61, MoronDude, 16:50, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    То что каждый сервер должен быть конфигурирован вручную, и пропущен через цыпочк... весь текст скрыт [показать]
     
     
  • 4.70, angra, 21:35, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ansible это инструмент, как нож или топор Если его использует умный человек, то... весь текст скрыт [показать]
     
     
  • 5.72, нах, 22:24, 26/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    умным не нужен ansible - они создают свой Заточенный строго под их задачи И эт... весь текст скрыт [показать]
     
     
  • 6.73, MoronDude, 02:10, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Согласен Если нужно настроить новые сервера с одинаковой конфигурацие можно вос... весь текст скрыт [показать]
     
     
  • 7.77, foobar, 07:55, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –2 +/
    Как заданием об изменении одной строки на тысяче серверов обеспечить мамкиному ... весь текст скрыт [показать]
     
     
  • 8.80, забыл_пароль_от_тигар, 09:29, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    только почему-то зовут именно их оттуда, когда девопсики обосpались и щас конте... весь текст скрыт [показать]
     
     
  • 9.81, ыы, 09:32, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    не, этих не зовут нафиг они нужны если ansible не знают пусть продолжают лок... весь текст скрыт [показать]
     
  • 7.79, ыы, 09:25, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +1 +/
    ansible -это такой, своеобразный ну какой есть аналог групповых политик от ... весь текст скрыт [показать]
     
     
  • 8.87, MoronDude, 17:00, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Я по большей части троил Но если серьезно то автомацией не все проблемы решаютс... весь текст скрыт [показать]
     
     
  • 9.89, Легион, 23:21, 28/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Ежели юзать конфигманагер, то ВСЕ изменения должны выполняться плейбуками манифе... весь текст скрыт [показать]
     
  • 7.83, angra, 13:00, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • +/
    Разве что если тебе платят почасово, совести не хватает, чтобы отказаться от раз... весь текст скрыт [показать]
     
  • 6.82, angra, 12:56, 27/03/2018 [^] [ответить] [смотреть все]     [к модератору]  
  • –1 +/
    И это тоже Но только если задачу действительно неудобно решать имеющимися инстр... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor