去他的集群！etcd資料庫默認情況下向世人泄露密碼和雲密鑰

開發人員被告知應設立身份驗證機制，承擔起該有的責任。

etcd這款知名軟體用於存儲容器集群上的數據，近日爆出了一個問題：它在默認情況下居然沒有實行身份驗證，因此一旦部署，不用外人進一步做手腳，就會帶來安全風險。

etcd還被廣泛使用，原因是它常常與流行的容器編排軟體Kubernetes配合使用。

軟體開發人員喬瓦尼?科拉佐（Giovanni Collazo）周五在一篇博文（https://elweb.co/the-security-footgun-in-etcd/）中提出了這個問題。他詳細敘述了自己如何使用Shodan安全漏洞搜索引擎來搜索etcd實例，找出了近2300台etcd伺服器。

然後他編寫了一個腳本以查詢etcd API，請求所有帳戶的登錄密鑰。他居然拿回來了8700個密碼，以及數百個AWS密鑰及其他API密鑰。

科拉佐說：「我沒有測試任何登錄信息，但如果非讓我猜，我會猜至少其中幾個登錄信息應該管用，這才是可怕的地方。任何人只要抽幾分鐘的時間，就能獲得一份列有數百個資料庫登錄信息的列表，這些登錄信息可用於竊取數據或執行勒索軟體攻擊。」

Bad Packets Report的安全研究人員特洛伊?穆爾施（TroyMursch）在寫給IT外媒The Register的電子郵件中表示：「我已獨立驗證過[這個問題]，證實這對於向互聯網敞開etcd的任何人來說都是個嚴重問題。」

這個問題之前曾出現在MongoDB中，這種NoSQL資料庫讓開發人員在不需要身份驗證的情況下就可以安裝軟體。開發人員就是這麼做的，去年1月為此而後悔。

MondoDB在去年年底改變了其軟體的行為。

公司發言人在寫給The Register的電子郵件中表示：「發布版本3.6後，MongoDB在去年11月改用了伺服器中默認安全的網路綁定，版本3.6一開始只有本地身份驗證。」

「雖然伺服器建議用戶在重新配置伺服器以連接到網路之前設立身份驗證機制，但最新版本中的更新意味著默認設置現在可以防止配置無意中敞開大門。」

CoreOS和Red Hat的首席技術官布蘭登?菲利浦斯（BrandonPhilips）在發給The Register的電子郵件中建議，部署該分散式數據存儲系統的那些人應負責做好安全部署，他是etcd的主要貢獻者之一。

菲利浦斯說：「在這種情形下，人們似乎可能不使用etcd的安全功能，任由埠敞開著，這對每個資料庫來說都是個問題。安全需要適當的配置。etcd社區提供了合理設置安全方面的多份指南，我建議使用etcd的產品和項目應該部署安全配置。」

科拉佐認為，etcd團隊應加強工作，幫助開發人員避免搬起石頭砸自己的腳。

他說：「我真的希望etcd團隊會重新考慮情況，儘快做出改變，以便在默認情況下啟用身份驗證。我們從之前的MongoDB經歷得知，這是一大footgun（註：指添加到產品，但導致用戶搬起石頭砸自己的腳的功能），很容易從其他方面很出色的軟體去掉。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！