Множество инсталляций etcd сливают секретные ключи в Сеть

Эксперт утверждает, что множество серверов, использующих распределенное Key-Value хранилище Etcd, выставляют данные пользователей на всеобщее обозрение.

Джованни Кольясо рассказал, что используя программу поиска Shodan, он нашел целых 2 284 серверов, которые показали пароли и ключи. Об этом он сообщил в своем блоге, отметив, что как минимум 750 Мбайт данных предоставлено в интернете. Etcd автоматически запускается на всех устройствах кластера, и предоставляет общий доступ почти ко всем данным всего в одном из них. До разработки версии 2.1, etcd являлся абсолютно открытой системой, и каждый, обладавший доступом к API, мог изменить ключи.
Чтобы подтвердить свои выводы, Кольясо написал скрипт, вызывающий API etcd, и запрашивающий загрузку всех ключей в общем доступе. В итоге проблемы были показаны более чем у 1000 серверов. Дальнейшее исследование показало, что в утекших данных находятся пароли для баз данных, секретные ключи AWS, ключи API многих серверов. Джованни Кольясо отметил, что не тестировал эти данные, поэтому не может сообщить, работают ли они.







Смотрите также: