Исследователь безопасности Giovanni Collazo опубликовал (https://elweb.co/the-security-footgun-in-etcd/) результат анализа  некорректно настроенных распределённых хранилищ  etcd (https://www.opennet.ru/opennews/art.shtml?num=48024), принимающих запросы из внешней сети без аутентификации. При помощи поисковой системы Shodan было выявлено (https://www.shodan.io/search?query=etcd) 2284 общедоступных сервера etcd, отправив запросы на 1485 из которых удалось загрузить около 750 Мб  данных.

Для получения данных использовался рекурсивный запрос всех ключей ("GET http://host:2379/v2/keys/?recursive=true"). в ходе изучения извлечённых данных было выявлено 8781 паролей, 650 ключей доступа к окружениям Amazon AWS, 23 секретных ключа и 8 закрытых ключей. Etcd обычно используется как хранилище конфигурации для групп серверов,  изолированных контейнеров с типовой начинкой и как хранилище параметров в кластерах Kubernetes.  Судя по связанным с полученными параметрами аутентификации ключам они применялись для доступа к   различным серверам, системам управления контентом, СУБД MySQL и PostgreSQL.

Администраторам etcd рекомендуется проверить свои системы на предмет должной изоляции межсетевым экраном и включения доступа с применением аутентификации (https://github.com/coreos/etcd/blob/master/Documentation/op-...) (до версии 2.1 etcd не поддерживал аутентификацию, а в более новых выпусках для обеспечения обратной совместимости в настройках по умолчанию  аутентификация отключена). Общедоступные серверы etcd представляют угрозу не только как источник утечки паролей к другим серверам и сервисам, но и как объект для вандализма и применения вредоносных шифровальщиков, которые в своё время активно атаковали незащищённые MongoDB, CouchDB, Hadoop и ElasticSearch (https://www.opennet.ru/opennews/art.shtml?num=45903).

URL: https://elweb.co/the-security-footgun-in-etcd/
Новость: https://www.opennet.ru/opennews/art.shtml?num=48329