安全研究人員警告說(shuō)，大量的Kubernetes集群正由于錯(cuò)誤配置Argo Workflows實(shí)例從而導(dǎo)致很容易受到攻擊。

　　Argo Workflows是一個(gè)開(kāi)源的容器原生工作流引擎，主要用于協(xié)調(diào)Kubernetes上的并行工作，加快機(jī)器學(xué)習(xí)和大數(shù)據(jù)處理等計(jì)算密集型工作的處理速度，同時(shí)它也被用來(lái)簡(jiǎn)化一般的容器部署。同時(shí)，Kubernetes也是一個(gè)流行的容器編排引擎，可以用于管理云部署。

　　根據(jù)Intezer的分析，由于一些實(shí)例可以讓用戶通過(guò)儀表盤(pán)訪問(wèn)，不需要對(duì)外部用戶進(jìn)行身份驗(yàn)證，惡意軟件運(yùn)營(yíng)商可以通過(guò)Argo將加密軟件投放到云容器中。因此，這些配置錯(cuò)誤的權(quán)限可以讓攻擊者在受害者的環(huán)境中運(yùn)行具有攻擊性的代碼。

　　根據(jù)Intezer在周二發(fā)表的分析報(bào)告中稱(chēng)，在許多情況下，默認(rèn)配置的權(quán)限使得任何用戶都可以部署工作流程。在權(quán)限配置錯(cuò)誤的情況下，攻擊者有可能會(huì)訪問(wèn)一個(gè)開(kāi)放的Argo儀表板，并進(jìn)行他們的網(wǎng)絡(luò)攻擊。

　　研究人員說(shuō)，錯(cuò)誤的配置還可能會(huì)暴露敏感信息，如代碼、憑證和私人容器鏡像的名稱(chēng)（可用于協(xié)助其他類(lèi)型的攻擊）。

　　Intezer通過(guò)對(duì)網(wǎng)絡(luò)掃描，發(fā)現(xiàn)了大量的未受保護(hù)的實(shí)例，它們由包括技術(shù)、金融和物流行業(yè)在內(nèi)的幾個(gè)公司運(yùn)營(yíng)。

　　Intezer稱(chēng)：“我們目前已經(jīng)確定了受感染的節(jié)點(diǎn)，由于涉及到數(shù)百個(gè)錯(cuò)誤部署的容器，以后有可能會(huì)發(fā)生更大規(guī)模的攻擊。在其中一個(gè)案例中，惡意代碼在Docker Hub的一個(gè)暴露的集群上運(yùn)行了九個(gè)月之后才被發(fā)現(xiàn)?！?/p>

　　實(shí)施攻擊并不難。研究人員觀察到包括Kannix和XMRig在內(nèi)的很多流行的惡意軟件被投放在Docker Hub等存儲(chǔ)庫(kù)的容器中，網(wǎng)絡(luò)犯罪分子只需要通過(guò)Argo或其他途徑將這些容器中的一個(gè)拉入Kubernetes就能完成攻擊。例如，微軟最近就調(diào)查了很多礦工通過(guò)運(yùn)行機(jī)器學(xué)習(xí)工作流程的Kubeflow框架攻擊Kubernetes的案例。

　　研究人員說(shuō)：“在Docker Hub中，發(fā)現(xiàn)仍然有許多攻擊者可以使用的Monero選項(xiàng)。我們通過(guò)簡(jiǎn)單的搜索，發(fā)現(xiàn)至少有45個(gè)容器有數(shù)百萬(wàn)的下載量”。

　　如何檢查Argo的錯(cuò)誤配置

　　研究人員指出，查看權(quán)限是否配置正確的最簡(jiǎn)便的方法是嘗試從企業(yè)環(huán)境外部使用未經(jīng)認(rèn)證的隱身瀏覽器來(lái)訪問(wèn)Argo工作流儀表板。

　　研究人員補(bǔ)充說(shuō)，一個(gè)更有技術(shù)含量的檢查方法是訪問(wèn)一個(gè)實(shí)例的API并檢查狀態(tài)代碼。

　　根據(jù)分析，作為一個(gè)未認(rèn)證的用戶，向[your.instance:port]/api/v1/info發(fā)出一個(gè)HTTP GET請(qǐng)求，返回的HTTP狀態(tài)代碼為‘401未授權(quán)’，表明這個(gè)實(shí)例配置正確，而如果返回一個(gè)成功的狀態(tài)代碼為‘200成功’，則表明一個(gè)未經(jīng)授權(quán)的用戶能夠訪問(wèn)該實(shí)例。

　　Intezer指出，管理員還可以在日志和工作流時(shí)間線中檢查任何可疑的活動(dòng)，任何運(yùn)行時(shí)間過(guò)長(zhǎng)的工作流程都可能表明有攻擊活動(dòng)。

　　研究人員指出：“即使你的集群部署在云Kubernetes服務(wù)上，如亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）、EKS或Azure Kubernetes服務(wù)（AKS），但是共同責(zé)任模式規(guī)定，應(yīng)該由云客戶來(lái)負(fù)責(zé)他們部署的應(yīng)用程序的所有必要的安全配置”。

　　錯(cuò)誤的云端配置為網(wǎng)絡(luò)攻擊提供了媒介

　　錯(cuò)誤的配置現(xiàn)在仍然困擾著云計(jì)算領(lǐng)域和各種組織。去年秋天的一項(xiàng)分析發(fā)現(xiàn)，6%的谷歌云鏡像配置錯(cuò)誤，并且向公共互聯(lián)網(wǎng)開(kāi)放，任何人都可以訪問(wèn)其中的內(nèi)容。

　　有時(shí)這些失誤會(huì)成為頭條新聞。今年3月，Hobby Lobby公司被揭露將138GB的敏感信息放在一個(gè)向公眾開(kāi)放的cloud bucket中。這些信息包括客戶姓名、部分支付卡細(xì)節(jié)、電話號(hào)碼、物理和電子郵件地址。

　　根據(jù)云原生計(jì)算基金會(huì)（CNCF）2020年的一項(xiàng)調(diào)查，有91%的受訪者正在使用Kubernetes，受訪者表示，使用和部署容器的最大的困難是部署的復(fù)雜性和安全性。

　　Intezer研究人員指出：“Kubernetes……是GitHub上最受歡迎的存儲(chǔ)庫(kù)之一，有超過(guò)10萬(wàn)個(gè)提交和超過(guò)3000個(gè)貢獻(xiàn)者，每年使用Kubernetes的企業(yè)和他們部署的集群數(shù)量都在穩(wěn)步增長(zhǎng)。由于企業(yè)在使用容器和Kubernetes集群面臨的這些安全性的挑戰(zhàn)，攻擊者很有可能會(huì)利用容器安全方面的漏洞，進(jìn)行大范圍的攻擊”。