《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 攻擊者通過Argo網(wǎng)絡(luò)儀表盤對Kubernetes云集群進行攻擊

攻擊者通過Argo網(wǎng)絡(luò)儀表盤對Kubernetes云集群進行攻擊

2021-08-02
來源:嘶吼專業(yè)版
關(guān)鍵詞: Kubernetes集群 錯誤配置 攻擊

  安全研究人員警告說,大量的Kubernetes集群正由于錯誤配置Argo Workflows實例從而導致很容易受到攻擊。

  Argo Workflows是一個開源的容器原生工作流引擎,主要用于協(xié)調(diào)Kubernetes上的并行工作,加快機器學習和大數(shù)據(jù)處理等計算密集型工作的處理速度,同時它也被用來簡化一般的容器部署。同時,Kubernetes也是一個流行的容器編排引擎,可以用于管理云部署。

  根據(jù)Intezer的分析,由于一些實例可以讓用戶通過儀表盤訪問,不需要對外部用戶進行身份驗證,惡意軟件運營商可以通過Argo將加密軟件投放到云容器中。因此,這些配置錯誤的權(quán)限可以讓攻擊者在受害者的環(huán)境中運行具有攻擊性的代碼。

  根據(jù)Intezer在周二發(fā)表的分析報告中稱,在許多情況下,默認配置的權(quán)限使得任何用戶都可以部署工作流程。在權(quán)限配置錯誤的情況下,攻擊者有可能會訪問一個開放的Argo儀表板,并進行他們的網(wǎng)絡(luò)攻擊。

  研究人員說,錯誤的配置還可能會暴露敏感信息,如代碼、憑證和私人容器鏡像的名稱(可用于協(xié)助其他類型的攻擊)。

  Intezer通過對網(wǎng)絡(luò)掃描,發(fā)現(xiàn)了大量的未受保護的實例,它們由包括技術(shù)、金融和物流行業(yè)在內(nèi)的幾個公司運營。

  Intezer稱:“我們目前已經(jīng)確定了受感染的節(jié)點,由于涉及到數(shù)百個錯誤部署的容器,以后有可能會發(fā)生更大規(guī)模的攻擊。在其中一個案例中,惡意代碼在Docker Hub的一個暴露的集群上運行了九個月之后才被發(fā)現(xiàn)。”

  實施攻擊并不難。研究人員觀察到包括Kannix和XMRig在內(nèi)的很多流行的惡意軟件被投放在Docker Hub等存儲庫的容器中,網(wǎng)絡(luò)犯罪分子只需要通過Argo或其他途徑將這些容器中的一個拉入Kubernetes就能完成攻擊。例如,微軟最近就調(diào)查了很多礦工通過運行機器學習工作流程的Kubeflow框架攻擊Kubernetes的案例。

  研究人員說:“在Docker Hub中,發(fā)現(xiàn)仍然有許多攻擊者可以使用的Monero選項。我們通過簡單的搜索,發(fā)現(xiàn)至少有45個容器有數(shù)百萬的下載量”。

  如何檢查Argo的錯誤配置

  研究人員指出,查看權(quán)限是否配置正確的最簡便的方法是嘗試從企業(yè)環(huán)境外部使用未經(jīng)認證的隱身瀏覽器來訪問Argo工作流儀表板。

  研究人員補充說,一個更有技術(shù)含量的檢查方法是訪問一個實例的API并檢查狀態(tài)代碼。

  根據(jù)分析,作為一個未認證的用戶,向[your.instance:port]/api/v1/info發(fā)出一個HTTP GET請求,返回的HTTP狀態(tài)代碼為‘401未授權(quán)’,表明這個實例配置正確,而如果返回一個成功的狀態(tài)代碼為‘200成功’,則表明一個未經(jīng)授權(quán)的用戶能夠訪問該實例。

  Intezer指出,管理員還可以在日志和工作流時間線中檢查任何可疑的活動,任何運行時間過長的工作流程都可能表明有攻擊活動。

  研究人員指出:“即使你的集群部署在云Kubernetes服務(wù)上,如亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、EKS或Azure Kubernetes服務(wù)(AKS),但是共同責任模式規(guī)定,應(yīng)該由云客戶來負責他們部署的應(yīng)用程序的所有必要的安全配置”。

  錯誤的云端配置為網(wǎng)絡(luò)攻擊提供了媒介

  錯誤的配置現(xiàn)在仍然困擾著云計算領(lǐng)域和各種組織。去年秋天的一項分析發(fā)現(xiàn),6%的谷歌云鏡像配置錯誤,并且向公共互聯(lián)網(wǎng)開放,任何人都可以訪問其中的內(nèi)容。

  有時這些失誤會成為頭條新聞。今年3月,Hobby Lobby公司被揭露將138GB的敏感信息放在一個向公眾開放的cloud bucket中。這些信息包括客戶姓名、部分支付卡細節(jié)、電話號碼、物理和電子郵件地址。

  根據(jù)云原生計算基金會(CNCF)2020年的一項調(diào)查,有91%的受訪者正在使用Kubernetes,受訪者表示,使用和部署容器的最大的困難是部署的復(fù)雜性和安全性。

  Intezer研究人員指出:“Kubernetes……是GitHub上最受歡迎的存儲庫之一,有超過10萬個提交和超過3000個貢獻者,每年使用Kubernetes的企業(yè)和他們部署的集群數(shù)量都在穩(wěn)步增長。由于企業(yè)在使用容器和Kubernetes集群面臨的這些安全性的挑戰(zhàn),攻擊者很有可能會利用容器安全方面的漏洞,進行大范圍的攻擊”。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。