CronJob ECR baixa kubectl via curl sem verificacao de checksum

INFRA-27

MediumAchado ConfirmadoInfraestruturaRodada 4

Descricao

O CronJob baixa kubectl via curl sem verificar SHA256 do binario, e instala awscli via pip install sem pinning de versao.

Evidencia

`.github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml` — download de kubectl via curl sem checksum.

Impacto Tecnico

Supply chain attack: um atacante que comprometa o CDN pode injetar binario malicioso com permissao sobre secrets do namespace.

Impacto de Negocio

Comprometimento do CronJob pode levar a exfiltracao de secrets do Kubernetes.

Recomendacao

Usar imagem pre-construida com kubectl e awscli fixados por digest SHA256.

Arquivos Afetados

.github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml

Acoes Relacionadas

ACT-7.3.7Ver acao no plano

{
  "id": "INFRA-27",
  "title": "CronJob ECR baixa kubectl via curl sem verificacao de checksum",
  "severity": "Medium",
  "type": "achado confirmado",
  "category": "infrastructure",
  "description": "O CronJob baixa `kubectl` via `curl` sem verificar SHA256 do binario, e instala `awscli` via `pip install` sem pinning de versao.",
  "evidence": "`.github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml` — download de kubectl via curl sem checksum.",
  "technicalImpact": "Supply chain attack: um atacante que comprometa o CDN pode injetar binario malicioso com permissao sobre secrets do namespace.",
  "businessImpact": "Comprometimento do CronJob pode levar a exfiltracao de secrets do Kubernetes.",
  "recommendation": "Usar imagem pre-construida com `kubectl` e `awscli` fixados por digest SHA256.",
  "files": [
    ".github/kubernetes/develop/aws-resources/ecr-token-renewal.yaml"
  ],
  "pass": 4,
  "relatedActions": [
    "ACT-7.3.7"
  ]
}

CronJob ECR baixa kubectl via curl sem verificacao de checksum

Descricao

Arquivos Afetados

Acoes Relacionadas

Texto Original