Instalaciones de etcd filtran las claves secretas del servidor

Miles de servidores que ejecutan etcd están exponiendo las credenciales del usuario públicamente en Internet.

Según el investigador de seguridad Giovanni Collazo, una consulta rápida realizada a través del motor de búsqueda Shodan reveló un total de 2.284 servidores que están filtrando credenciales, incluidas las contraseñas y las claves requeridas para cms_admin, mysql_root y la infraestructura del servidor postgres.

Collazo dijo que al menos 750mb de datos filtrados están disponibles en línea.

Etcd es un tipo de base de datos que permite el almacenamiento de datos mediante clustering. El sistema de código abierto es capaz de almacenar las credenciales requeridas para diferentes servidores y aplicaciones, y como las aplicaciones pueden leer y escribir datos en el sistema de administración, la reconfiguración en servidores y redes se convierte en un proceso más simplificado.

Antes de la versión 2.1, el software era un sistema completamente abierto y cualquier persona con acceso a la API podía cambiar las claves. Esta función ahora está desactivada de manera predeterminada, pero las prácticas de seguridad son laxas.

Para verificar sus hallazgos, Collazo escribió un script simple que llamaba a la API de etd y solicitaba la descarga de todas las claves que estaban a disposición del público.

La secuencia de comandos, "GET http://dirección IP:2379/v2/keys/?Recursive=true", reveló que de los 2.284 servidores encontrados en la Internet abierta, las claves estaban expuestas en el caso de al menos 1.485 de ellos.

Sin embargo, esto no significa que todos ellos no exponen credenciales, más bien, el investigador de seguridad decidió detenerse una vez que alcanzó la marca de los 750mb.

Luego, varias búsquedas básicas revelaron que "contraseñas para bases de datos de todo tipo, claves secretas de AWS y claves API y secretos para un grupo de servicios" se incluyeron en la fuga.

En total, 8781 contraseñas, 650 claves secretas de AWS, 23 claves secretas para otros servicios y 8 claves privadas estaban disponibles para descargar.

"No probé ninguna de las credenciales, pero si tuviera que adivinar, supongo que al menos algunas de ellas deberían funcionar y esta es la parte aterradora", dice el investigador. "Cualquier persona con solo unos minutos de repuesto podría terminar con una lista de cientos de credenciales de bases de datos que se pueden usar para robar datos o realizar ataques de ransomware".

Collazo también sugirió que es posible que los actores de amenazas escriban a los servidores que usan la API debido al acceso abierto.

"Un atacante podría usarlo para cambiar los datos en etcd y meterse con la configuración e incluso tal vez la autenticación o podría ser utilizado para almacenar datos exfiltrados de otros ataques", agregó el investigador.

El investigador Troy Mursch le dijo a Ars Technica que los hallazgos son válidos, y después de realizar sus propias pruebas, también descubrió prácticas de seguridad deficientes, como el uso de "1234" como contraseñas almacenadas a través de etcd.

Collazo recomienda que los administradores de la base de datos no permitan que las compilaciones de ETD sean accesibles de forma abierta a través de la web y que consideren cambiar los comportamientos predeterminados para evitar que extraños lean y escriban en los servidores de ETD.

Fecha actualización el 2021-03-26. Fecha publicación el 2018-03-26. Categoría: servidores. Autor: Oscar olg Mapa del sitio Fuente: zdnet
claves secretas del servidor