Plus de 350 clusters Kubernetes d’entreprise et individuels compromis sont dus à deux erreurs de configuration. Une entreprise de sécurité cloud native l’a récemment démontré.
Aqua Security a identifié les clusters Kubernetes de plus de 350 organisations, projets open source et individus qui étaient ouvertement accessibles et non protégés. C'est le résultat de plusieurs mois de recherches menées par l'équipe de recherche « Nautilus » d'Aqua. Un sous-ensemble notable de clusters était associé à de grands conglomérats et à des sociétés Fortune 500. Au moins 60 % de ces clusters ont été attaqués et ont mené une campagne active avec le déploiement de logiciels malveillants et de portes dérobées. Les vulnérabilités étaient dues à deux erreurs de configuration, illustrant comment des erreurs de configuration connues et inconnues peuvent être activement exploitées dans la nature et avoir des conséquences catastrophiques.
Les erreurs de configuration connues permettent l'accès aux privilèges
Dans l'enquête, Nautilus souligne une mauvaise configuration connue qui permet un accès anonyme avec des privilèges. Le deuxième problème moins connu était une mauvaise configuration du proxy « kubectl » avec des indicateurs qui exposaient sans le savoir le cluster Kubernetes à Internet. Les hôtes concernés comprenaient des organisations de divers secteurs, notamment les services financiers, l'aérospatiale, l'automobile, l'industrie et la sécurité. Les projets open source et les développeurs peu méfiants qui pouvaient accidentellement faire confiance et télécharger un package malveillant étaient les plus préoccupants. En cas de compromission, une telle faille pourrait déclencher un vecteur d’infection dans la chaîne d’approvisionnement des logiciels, affectant des millions d’utilisateurs.
Campagnes en cours contre les clusters Kubernetes
Nautilus a découvert qu'environ 60 % des clusters étaient activement attaqués par des cryptomineurs et a créé le premier environnement Kubernetes Honeypot connu pour collecter des données supplémentaires sur ces attaques et faire la lumière sur ces campagnes en cours. Les principales conclusions incluent que Nautilus a découvert la nouvelle campagne très agressive Silentbob récemment rapportée, révélant la résurgence de TeamTNT sur les clusters Kubernetes. Les chercheurs ont également découvert une campagne de contrôle d'accès basé sur les rôles (RBAC) pour créer une porte dérobée cachée, ainsi que des campagnes de cryptomining, y compris une exécution plus large de la campagne Dero précédemment découverte avec des images de conteneurs supplémentaires, totalisant des centaines de milliers d'extractions.
Manque de compréhension et de conscience des risques de mauvaises configurations
Nautilus a contacté les propriétaires de clusters accessibles qu'ils ont identifiés, et les réponses ont également été troublantes. Assaf Morag, analyste principal des renseignements sur les menaces chez Aqua Nautilus, explique : « Nous avons été étonnés que la première réaction ait été l'indifférence. Beaucoup ont déclaré que leurs clusters n'étaient « que des environnements de préparation ou de test ». Cependant, lorsque nous leur avons montré tout le potentiel d'une attaque du point de vue d'un attaquant et son impact potentiellement dévastateur sur leur organisation, ils ont tous été choqués et ont immédiatement résolu le problème. Il existe un manque évident de compréhension et de sensibilisation aux risques de mauvaises configurations et à leur impact.
Sécurisez les clusters Kubernetes contre les erreurs de configuration
Nautilus recommande d'exploiter les fonctionnalités natives de Kubernetes telles que RBAC et les politiques de contrôle d'accès pour limiter les privilèges et appliquer des politiques qui augmentent la sécurité. Les équipes de sécurité peuvent également mettre en œuvre des audits réguliers des clusters Kubernetes pour détecter les anomalies et prendre des mesures correctives rapides. Des outils open source comme Aqua Trivy, Aqua Tracee et Kube-Hunter peuvent être utiles pour analyser les environnements Kubernetes afin de détecter les anomalies et les vulnérabilités et d'empêcher les exploits en temps réel. En employant ces stratégies et d’autres stratégies correctives, les organisations peuvent améliorer considérablement leur sécurité Kubernetes et garantir que leurs clusters sont protégés contre les attaques courantes. Les résultats complets et une liste de recommandations d'atténuation des risques sont disponibles sur le blog d'Aqua.
« Entre de mauvaises mains, l’accès au cluster Kubernetes d’une entreprise peut signifier la fin de l’entreprise. Le code propriétaire, la propriété intellectuelle, les données clients, les données financières, les informations d’identification et les clés de chiffrement font partie des nombreux actifs sensibles menacés », commente Assaf Morag. « Alors que Kubernetes a gagné en popularité auprès des entreprises ces dernières années en raison de ses capacités indéniables à orchestrer et à gérer des applications conteneurisées, les entreprises confient à leurs clusters des informations et des jetons hautement sensibles. Cette enquête est un signal d’alarme sur l’importance de la sécurité de Kubernetes.
Plus sur AquaSec.com
À propos d'Aqua Sécurité Aqua Security est le plus grand fournisseur de sécurité natif pur cloud. Aqua donne à ses clients la liberté d'innover et d'accélérer leur transformation numérique. La plate-forme Aqua fournit une automatisation de la prévention, de la détection et de la réponse tout au long du cycle de vie des applications pour sécuriser la chaîne d'approvisionnement, l'infrastructure cloud et les charges de travail en cours, quel que soit l'endroit où elles sont déployées.