Über 350 kompromittierte Kubernetes Cluster von Unternehmen und Einzelpersonen sind auf zwei Fehlkonfigurationen zurückzuführen. Das hat ein Unternehmen aus dem Bereich der Cloud Native Security kürzlich nachgewiesen.
Aqua Security hat Kubernetes-Cluster von mehr als 350 Organisationen, Open-Source-Projekten und Einzelpersonen identifiziert, welche offen zugänglich und ungeschützt waren. Dies ergab eine mehrmonatige Forschung von Aquas Research-Team „Nautilus“. Eine bemerkenswerte Untergruppe von Clustern war mit großen Konglomeraten und Fortune-500-Unternehmen verbunden. Mindestens 60 Prozent dieser Cluster wurden angegriffen und hatten eine aktive Kampagne mit eingesetzter Malware und Backdoors. Die Sicherheitslücken waren auf zwei Fehlkonfigurationen zurückzuführen, was verdeutlicht, wie bekannte und unbekannte Fehlkonfigurationen in freier Wildbahn aktiv ausgenutzt werden und katastrophale Folgen haben können.
Bekannte Fehlkonfigurationen ermöglichen Zugriff auf Privilegien
In der Untersuchung weist Nautilus auf eine bekannte Fehlkonfiguration hin, die anonymen Zugriff mit Privilegien ermöglicht. Das zweite weniger bekannte Problem war eine Fehlkonfiguration des `kubectl`-Proxys mit Flags, die den Kubernetes-Cluster unwissentlich dem Internet aussetzten. Zu den betroffenen Hosts gehörten Organisationen aus einer Vielzahl von Branchen, darunter Finanzdienstleistungen, Luft- und Raumfahrt, Automobilbau, Industrie und Sicherheit. Am besorgniserregendsten waren die Open-Source-Projekte und ahnungslose Entwickler, die versehentlich einem bösartigen Paket vertrauen und es herunterladen konnten. Wenn ein solches kompromittiert wird, könnte es einen Infektionsvektor in der Software Supply Chain auslösen, der sich auf Millionen von Nutzern auswirkt.
Laufende Kampagnen gegen Kubernetes-Cluster
Nautilus fand heraus, dass etwa 60 Prozent der Cluster aktiv von Kryptominern angegriffen wurden, und schuf die erste bekannte Kubernetes-Honeypot-Umgebung, um weitere Daten über diese Angriffe zu sammeln und Licht in diese laufenden Kampagnen zu bringen. Zu den wichtigsten Erkenntnissen gehört, dass Nautilus die kürzlich gemeldete neuartige und äußerst aggressive Silentbob-Kampagne entdeckte, die das Wiederaufleben von TeamTNT auf Kubernetes-Cluster offenbart. Die Forscher entdeckten auch eine RBAC-Buster-Kampagne (rollenbasierte Zugriffskontrolle) zur Schaffung einer versteckten Hintertür sowie Kryptomining-Kampagnen, einschließlich einer umfangreicheren Ausführung der zuvor entdeckten Dero-Kampagne mit zusätzlichen Container-Images, die insgesamt Hunderttausende von Pulls umfassten.
Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen
Nautilus kontaktierte die von ihnen identifizierten zugänglichen Cluster-Besitzer, und die Antworten waren ebenfalls beunruhigend. Assaf Morag, leitender Threat Intelligence Analyst bei Aqua Nautilus erklärt: „Wir waren erstaunt, dass die erste Reaktion Gleichgültigkeit war. Viele sagten, dass ihre Cluster ’nur Staging- oder Testumgebungen‘ seien. Als wir ihnen jedoch das volle Potenzial eines Angriffs aus der Sicht eines Angreifers und die potenziell verheerenden Auswirkungen auf ihre Organisationen vor Augen führten, waren sie alle schockiert und haben das Problem sofort gelöst. Es gibt einen klaren Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen und deren Auswirkungen.“
Kubernetes-Cluster gegen Fehlkonfigurationen absichern
Nautilus empfiehlt die Nutzung nativer Kubernetes-Funktionen wie RBAC und Richtlinien zur Zugangskontrolle, um Privilegien zu begrenzen und Richtlinien durchzusetzen, die die Sicherheit erhöhen. Sicherheitsteams können auch regelmäßige Audits von Kubernetes-Clustern implementieren, um Anomalien zu erkennen und schnelle Abhilfemaßnahmen zu ergreifen. Open-Source-Tools wie Aqua Trivy, Aqua Tracee und Kube-Hunter können beim Scannen von Kubernetes-Umgebungen hilfreich sein, um Anomalien und Schwachstellen zu erkennen und Exploits in Echtzeit zu verhindern. Durch den Einsatz dieser und anderer Abhilfestrategien können Unternehmen ihre Kubernetes-Sicherheit erheblich verbessern und sicherstellen, dass ihre Cluster vor gängigen Angriffen geschützt sind. Die vollständigen Ergebnisse und eine Liste von Empfehlungen zur Risikominderung finden sich in Aquas Blog.
„In den falschen Händen kann der Zugriff auf den Kubernetes-Cluster eines Unternehmens das Ende des Unternehmens bedeuten. Proprietärer Code, geistiges Eigentum, Kundendaten, Finanzdaten, Zugangsdaten und Verschlüsselungsschlüssel gehören zu den vielen sensiblen Vermögenswerten, die gefährdet sind“, kommentiert Assaf Morag. „Da Kubernetes in den letzten Jahren aufgrund seiner unbestreitbaren Fähigkeiten bei der Orchestrierung und Verwaltung von containerisierten Anwendungen bei Unternehmen enorm an Beliebtheit gewonnen hat, vertrauen Unternehmen ihren Clustern hochsensible Informationen und Token an. Diese Untersuchung ist ein Weckruf für die Bedeutung der Kubernetes-Sicherheit.“
Mehr bei AquaSec.com
Über Aqua Security Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.