微軟示警：Kubernetes 默認配置恐泄露敏感數據

IT之家 5 月 6 日消息，科技媒體 bleepingcomputer 昨日（5 月 5 日）發布博文，報道稱微軟示警稱 Kubernetes 部署中的默認配置存在嚴重安全隱患，尤其是使用現成的 Helm charts 時，可能導致敏感數據公開發布。

IT之家注：Kubernetes 是一個廣受歡迎的開源平臺，用于自動化部署、擴展和管理容器化應用。而 Helm 是包管理工具，通過 charts（即部署模板）簡化了復雜應用的部署流程。

微軟 Defender for Cloud Research 的研究人員 Michael Katchinskiy 和 Yossi Weizman 警告稱，許多 Helm charts 的默認設置缺乏必要的安全措施。用戶若不具備云安全經驗，直接使用這些默認配置，可能無意中將服務暴露于互聯網，方便攻擊者掃描并利用漏洞。

微軟報告中列舉了三個典型案例，揭示 Helm charts 的安全問題：

• Apache Pinot 的 Helm chart 通過 Kubernetes LoadBalancer 服務暴露核心組件（如 pinot-controller 和 pinot-broker），且未設置任何身份驗證。

• Meshery 可以通過暴露的 IP 公開注冊，任何人均可獲取集群操作權限。

• Selenium Grid 通過 NodePort 在集群所有節點上暴露服務，僅依賴外部防火墻保護，

盡管官方 Helm chart 無此問題，但許多 GitHub 項目存在類似隱患。此外，Wiz 等網絡安全公司曾發現攻擊者利用 Selenium Grid 的配置錯誤部署 XMRig 礦工，挖掘 Monero 加密貨幣。

微軟強烈建議用戶從安全角度仔細審查 Helm charts 的默認配置，確保包含身份驗證和網絡隔離措施。同時，建議定期掃描公開暴露的工作負載接口，密切監控容器中的可疑活動。

研究人員強調，若不仔細檢查 YAML 文件和 Helm charts，企業可能在無保護狀態下部署服務，完全暴露于攻擊者威脅之下。