安全研究人員警告說�����,大量的Kubernetes集群正由于錯(cuò)誤配置Argo Workflows實(shí)例從而導(dǎo)致很容易受到攻擊��。
Argo Workflows是一個(gè)開源的容器原生工作流引擎�,主要用于協(xié)調(diào)Kubernetes上的并行工作��,加快機(jī)器學(xué)習(xí)和大數(shù)據(jù)處理等計(jì)算密集型工作的處理速度����,同時(shí)它也被用來簡(jiǎn)化一般的容器部署�����。同時(shí)�,Kubernetes也是一個(gè)流行的容器編排引擎,可以用于管理云部署�。
根據(jù)Intezer的分析,由于一些實(shí)例可以讓用戶通過儀表盤訪問��,不需要對(duì)外部用戶進(jìn)行身份驗(yàn)證����,惡意軟件運(yùn)營商可以通過Argo將加密軟件投放到云容器中。因此�,這些配置錯(cuò)誤的權(quán)限可以讓攻擊者在受害者的環(huán)境中運(yùn)行具有攻擊性的代碼。
根據(jù)Intezer在周二發(fā)表的分析報(bào)告中稱��,在許多情況下��,默認(rèn)配置的權(quán)限使得任何用戶都可以部署工作流程。在權(quán)限配置錯(cuò)誤的情況下�,攻擊者有可能會(huì)訪問一個(gè)開放的Argo儀表板,并進(jìn)行他們的網(wǎng)絡(luò)攻擊�。
研究人員說,錯(cuò)誤的配置還可能會(huì)暴露敏感信息����,如代碼、憑證和私人容器鏡像的名稱(可用于協(xié)助其他類型的攻擊)��。
Intezer通過對(duì)網(wǎng)絡(luò)掃描��,發(fā)現(xiàn)了大量的未受保護(hù)的實(shí)例���,它們由包括技術(shù)���、金融和物流行業(yè)在內(nèi)的幾個(gè)公司運(yùn)營。
Intezer稱:”我們目前已經(jīng)確定了受感染的節(jié)點(diǎn)����,由于涉及到數(shù)百個(gè)錯(cuò)誤部署的容器�,以后有可能會(huì)發(fā)生更大規(guī)模的攻擊。在其中一個(gè)案例中�����,惡意代碼在Docker Hub的一個(gè)暴露的集群上運(yùn)行了九個(gè)月之后才被發(fā)現(xiàn)。”
實(shí)施攻擊并不難�。研究人員觀察到包括Kannix和XMRig在內(nèi)的很多流行的惡意軟件被投放在Docker Hub等存儲(chǔ)庫的容器中,網(wǎng)絡(luò)犯罪分子只需要通過Argo或其他途徑將這些容器中的一個(gè)拉入Kubernetes就能完成攻擊�。例如,微軟最近就調(diào)查了很多礦工通過運(yùn)行機(jī)器學(xué)習(xí)工作流程的Kubeflow框架攻擊Kubernetes的案例�����。
研究人員說:"在Docker Hub中�����,發(fā)現(xiàn)仍然有許多攻擊者可以使用的Monero選項(xiàng)�����。我們通過簡(jiǎn)單的搜索����,發(fā)現(xiàn)至少有45個(gè)容器有數(shù)百萬的下載量"。
如何檢查Argo的錯(cuò)誤配置
研究人員指出��,查看權(quán)限是否配置正確的最簡(jiǎn)便的方法是嘗試從企業(yè)環(huán)境外部使用未經(jīng)認(rèn)證的隱身瀏覽器來訪問Argo工作流儀表板�。
研究人員補(bǔ)充說�,一個(gè)更有技術(shù)含量的檢查方法是訪問一個(gè)實(shí)例的API并檢查狀態(tài)代碼����。
根據(jù)分析,作為一個(gè)未認(rèn)證的用戶�,向[your.instance:port]/api/v1/info發(fā)出一個(gè)HTTP GET請(qǐng)求,返回的HTTP狀態(tài)代碼為'401未授權(quán)'����,表明這個(gè)實(shí)例配置正確,而如果返回一個(gè)成功的狀態(tài)代碼為'200成功'�,則表明一個(gè)未經(jīng)授權(quán)的用戶能夠訪問該實(shí)例。
Intezer指出����,管理員還可以在日志和工作流時(shí)間線中檢查任何可疑的活動(dòng),任何運(yùn)行時(shí)間過長的工作流程都可能表明有攻擊活動(dòng)�����。
研究人員指出:"即使你的集群部署在云Kubernetes服務(wù)上����,如亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、EKS或Azure Kubernetes服務(wù)(AKS)�����,但是共同責(zé)任模式規(guī)定���,應(yīng)該由云客戶來負(fù)責(zé)他們部署的應(yīng)用程序的所有必要的安全配置"�。
錯(cuò)誤的云端配置為網(wǎng)絡(luò)攻擊提供了媒介
錯(cuò)誤的配置現(xiàn)在仍然困擾著云計(jì)算領(lǐng)域和各種組織��。去年秋天的一項(xiàng)分析發(fā)現(xiàn)�,6%的谷歌云鏡像配置錯(cuò)誤,并且向公共互聯(lián)網(wǎng)開放�,任何人都可以訪問其中的內(nèi)容。
有時(shí)這些失誤會(huì)成為頭條新聞��。今年3月�����,Hobby Lobby公司被揭露將138GB的敏感信息放在一個(gè)向公眾開放的cloud bucket中�。這些信息包括客戶姓名、部分支付卡細(xì)節(jié)����、電話號(hào)碼、物理和電子郵件地址�����。
根據(jù)云原生計(jì)算基金會(huì)(CNCF)2020年的一項(xiàng)調(diào)查,有91%的受訪者正在使用Kubernetes���,受訪者表示����,使用和部署容器的最大的困難是部署的復(fù)雜性和安全性�。
Intezer研究人員指出:"Kubernetes......是GitHub上最受歡迎的存儲(chǔ)庫之一,有超過10萬個(gè)提交和超過3000個(gè)貢獻(xiàn)者���,每年使用Kubernetes的企業(yè)和他們部署的集群數(shù)量都在穩(wěn)步增長����。由于企業(yè)在使用容器和Kubernetes集群面臨的這些安全性的挑戰(zhàn)�,攻擊者很有可能會(huì)利用容器安全方面的漏洞,進(jìn)行大范圍的攻擊"�����。
參考及來源:https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/ (來源: 嘶吼專業(yè)版)
在線咨詢
在線咨詢
0371-63319761