Hunderte ungeschützter Kubernetes Cluster entdeckt

Hunderte ungeschützter Kubernetes Cluster entdeckt

Beitrag teilen

Über 350 kompromittierte Kubernetes Cluster von Unternehmen und Einzelpersonen sind auf zwei Fehlkonfigurationen zurückzuführen. Das hat ein Unternehmen aus dem Bereich der Cloud Native Security kürzlich nachgewiesen.

Aqua Security hat Kubernetes-Cluster von mehr als 350 Organisationen, Open-Source-Projekten und Einzelpersonen identifiziert, welche offen zugänglich und ungeschützt waren. Dies ergab eine mehrmonatige Forschung von Aquas Research-Team „Nautilus“. Eine bemerkenswerte Untergruppe von Clustern war mit großen Konglomeraten und Fortune-500-Unternehmen verbunden. Mindestens 60 Prozent dieser Cluster wurden angegriffen und hatten eine aktive Kampagne mit eingesetzter Malware und Backdoors. Die Sicherheitslücken waren auf zwei Fehlkonfigurationen zurückzuführen, was verdeutlicht, wie bekannte und unbekannte Fehlkonfigurationen in freier Wildbahn aktiv ausgenutzt werden und katastrophale Folgen haben können.

Bekannte Fehlkonfigurationen ermöglichen Zugriff auf Privilegien

In der Untersuchung weist Nautilus auf eine bekannte Fehlkonfiguration hin, die anonymen Zugriff mit Privilegien ermöglicht. Das zweite weniger bekannte Problem war eine Fehlkonfiguration des `kubectl`-Proxys mit Flags, die den Kubernetes-Cluster unwissentlich dem Internet aussetzten. Zu den betroffenen Hosts gehörten Organisationen aus einer Vielzahl von Branchen, darunter Finanzdienstleistungen, Luft- und Raumfahrt, Automobilbau, Industrie und Sicherheit. Am besorgniserregendsten waren die Open-Source-Projekte und ahnungslose Entwickler, die versehentlich einem bösartigen Paket vertrauen und es herunterladen konnten. Wenn ein solches kompromittiert wird, könnte es einen Infektionsvektor in der Software Supply Chain auslösen, der sich auf Millionen von Nutzern auswirkt.

Laufende Kampagnen gegen Kubernetes-Cluster

Nautilus fand heraus, dass etwa 60 Prozent der Cluster aktiv von Kryptominern angegriffen wurden, und schuf die erste bekannte Kubernetes-Honeypot-Umgebung, um weitere Daten über diese Angriffe zu sammeln und Licht in diese laufenden Kampagnen zu bringen. Zu den wichtigsten Erkenntnissen gehört, dass Nautilus die kürzlich gemeldete neuartige und äußerst aggressive Silentbob-Kampagne entdeckte, die das Wiederaufleben von TeamTNT auf Kubernetes-Cluster offenbart. Die Forscher entdeckten auch eine RBAC-Buster-Kampagne (rollenbasierte Zugriffskontrolle) zur Schaffung einer versteckten Hintertür sowie Kryptomining-Kampagnen, einschließlich einer umfangreicheren Ausführung der zuvor entdeckten Dero-Kampagne mit zusätzlichen Container-Images, die insgesamt Hunderttausende von Pulls umfassten.

Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen

Nautilus kontaktierte die von ihnen identifizierten zugänglichen Cluster-Besitzer, und die Antworten waren ebenfalls beunruhigend. Assaf Morag, leitender Threat Intelligence Analyst bei Aqua Nautilus erklärt: „Wir waren erstaunt, dass die erste Reaktion Gleichgültigkeit war. Viele sagten, dass ihre Cluster ‘nur Staging- oder Testumgebungen’ seien. Als wir ihnen jedoch das volle Potenzial eines Angriffs aus der Sicht eines Angreifers und die potenziell verheerenden Auswirkungen auf ihre Organisationen vor Augen führten, waren sie alle schockiert und haben das Problem sofort gelöst. Es gibt einen klaren Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen und deren Auswirkungen.“

Kubernetes-Cluster gegen Fehlkonfigurationen absichern

Nautilus empfiehlt die Nutzung nativer Kubernetes-Funktionen wie RBAC und Richtlinien zur Zugangskontrolle, um Privilegien zu begrenzen und Richtlinien durchzusetzen, die die Sicherheit erhöhen. Sicherheitsteams können auch regelmäßige Audits von Kubernetes-Clustern implementieren, um Anomalien zu erkennen und schnelle Abhilfemaßnahmen zu ergreifen. Open-Source-Tools wie Aqua Trivy, Aqua Tracee und Kube-Hunter können beim Scannen von Kubernetes-Umgebungen hilfreich sein, um Anomalien und Schwachstellen zu erkennen und Exploits in Echtzeit zu verhindern. Durch den Einsatz dieser und anderer Abhilfestrategien können Unternehmen ihre Kubernetes-Sicherheit erheblich verbessern und sicherstellen, dass ihre Cluster vor gängigen Angriffen geschützt sind. Die vollständigen Ergebnisse und eine Liste von Empfehlungen zur Risikominderung finden sich in Aquas Blog.

„In den falschen Händen kann der Zugriff auf den Kubernetes-Cluster eines Unternehmens das Ende des Unternehmens bedeuten. Proprietärer Code, geistiges Eigentum, Kundendaten, Finanzdaten, Zugangsdaten und Verschlüsselungsschlüssel gehören zu den vielen sensiblen Vermögenswerten, die gefährdet sind“, kommentiert Assaf Morag. „Da Kubernetes in den letzten Jahren aufgrund seiner unbestreitbaren Fähigkeiten bei der Orchestrierung und Verwaltung von containerisierten Anwendungen bei Unternehmen enorm an Beliebtheit gewonnen hat, vertrauen Unternehmen ihren Clustern hochsensible Informationen und Token an. Diese Untersuchung ist ein Weckruf für die Bedeutung der Kubernetes-Sicherheit.“

Mehr bei AquaSec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

Forscher finden 26 Milliarden Zugangsdaten im Web

Im Netz ist ein Paket mit 26 Milliarden Datensätzen aufgetaucht die Zugangsdaten beinhalten. Es soll die Nutzerzugangsdaten bei vielen Unternehmen ➡ Weiterlesen

Datenangebot: Jedes dritte Unternehmen taucht im Darknet auf

In den letzten zwei Jahren wurden weltweit von jedem dritten Unternehmen kompromittierte Daten im Darknet zum Kauf angeboten. Eine große ➡ Weiterlesen

Fast-Food-Kette Subway wohl Lockbit-Opfer

Viele Quellen weisen darauf hin, dass das Unternehmen Subway das Opfer eines Cyberangriffs von LockBit wurde. Der Betreiber Subway gibt ➡ Weiterlesen

Russische APT-Gruppe attackierte Microsoft 

Microsoft wurde nach eigenen Angaben bereits am 12. Januar 2024 von Midnight Blizzard angegriffen. Die von Russland gesponserten Akteure hatten ➡ Weiterlesen

Viele deutsche Handwerkskammern weiterhin offline

Bereits Anfang Januar wurde der IT-Dienstleister ODAV das Opfer einer Cyberattacke. Da der Dienstleister viele Services für deutsche Handwerkskammer stellt ➡ Weiterlesen

Angriffe auf SSH-Server durch SSH-Tunneling

Ein Pionier im Bereich Cloud Native Security hat eine seit langem bestehende aber kaum bekannte Bedrohung für SSH-Server näher beleuchtet. ➡ Weiterlesen

Security Awareness gegen Phishing-Angriffe

Die fortschreitende Verbreitung von Deepfake- und KI-Technologien stellt eine ernsthafte Bedrohung dar, insbesondere im Bereich der Phishing-Angriffe. Diese Technologien ermöglichen ➡ Weiterlesen

Katz- und Mausspiel in der IT-Security

Der Rückblick auf das Jahr 2023 lässt erkennen, dass das Thema KI die IT-Security maßgeblich beeinflusst hat. Das wird auch ➡ Weiterlesen