Hunderte ungeschützter Kubernetes Cluster entdeckt

Hunderte ungeschützter Kubernetes Cluster entdeckt

Beitrag teilen

Über 350 kompromittierte Kubernetes Cluster von Unternehmen und Einzelpersonen sind auf zwei Fehlkonfigurationen zurückzuführen. Das hat ein Unternehmen aus dem Bereich der Cloud Native Security kürzlich nachgewiesen.

Aqua Security hat Kubernetes-Cluster von mehr als 350 Organisationen, Open-Source-Projekten und Einzelpersonen identifiziert, welche offen zugänglich und ungeschützt waren. Dies ergab eine mehrmonatige Forschung von Aquas Research-Team „Nautilus“. Eine bemerkenswerte Untergruppe von Clustern war mit großen Konglomeraten und Fortune-500-Unternehmen verbunden. Mindestens 60 Prozent dieser Cluster wurden angegriffen und hatten eine aktive Kampagne mit eingesetzter Malware und Backdoors. Die Sicherheitslücken waren auf zwei Fehlkonfigurationen zurückzuführen, was verdeutlicht, wie bekannte und unbekannte Fehlkonfigurationen in freier Wildbahn aktiv ausgenutzt werden und katastrophale Folgen haben können.

Anzeige

Bekannte Fehlkonfigurationen ermöglichen Zugriff auf Privilegien

In der Untersuchung weist Nautilus auf eine bekannte Fehlkonfiguration hin, die anonymen Zugriff mit Privilegien ermöglicht. Das zweite weniger bekannte Problem war eine Fehlkonfiguration des `kubectl`-Proxys mit Flags, die den Kubernetes-Cluster unwissentlich dem Internet aussetzten. Zu den betroffenen Hosts gehörten Organisationen aus einer Vielzahl von Branchen, darunter Finanzdienstleistungen, Luft- und Raumfahrt, Automobilbau, Industrie und Sicherheit. Am besorgniserregendsten waren die Open-Source-Projekte und ahnungslose Entwickler, die versehentlich einem bösartigen Paket vertrauen und es herunterladen konnten. Wenn ein solches kompromittiert wird, könnte es einen Infektionsvektor in der Software Supply Chain auslösen, der sich auf Millionen von Nutzern auswirkt.

Laufende Kampagnen gegen Kubernetes-Cluster

Nautilus fand heraus, dass etwa 60 Prozent der Cluster aktiv von Kryptominern angegriffen wurden, und schuf die erste bekannte Kubernetes-Honeypot-Umgebung, um weitere Daten über diese Angriffe zu sammeln und Licht in diese laufenden Kampagnen zu bringen. Zu den wichtigsten Erkenntnissen gehört, dass Nautilus die kürzlich gemeldete neuartige und äußerst aggressive Silentbob-Kampagne entdeckte, die das Wiederaufleben von TeamTNT auf Kubernetes-Cluster offenbart. Die Forscher entdeckten auch eine RBAC-Buster-Kampagne (rollenbasierte Zugriffskontrolle) zur Schaffung einer versteckten Hintertür sowie Kryptomining-Kampagnen, einschließlich einer umfangreicheren Ausführung der zuvor entdeckten Dero-Kampagne mit zusätzlichen Container-Images, die insgesamt Hunderttausende von Pulls umfassten.

Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen

Nautilus kontaktierte die von ihnen identifizierten zugänglichen Cluster-Besitzer, und die Antworten waren ebenfalls beunruhigend. Assaf Morag, leitender Threat Intelligence Analyst bei Aqua Nautilus erklärt: „Wir waren erstaunt, dass die erste Reaktion Gleichgültigkeit war. Viele sagten, dass ihre Cluster ’nur Staging- oder Testumgebungen‘ seien. Als wir ihnen jedoch das volle Potenzial eines Angriffs aus der Sicht eines Angreifers und die potenziell verheerenden Auswirkungen auf ihre Organisationen vor Augen führten, waren sie alle schockiert und haben das Problem sofort gelöst. Es gibt einen klaren Mangel an Verständnis und Bewusstsein für die Risiken von Fehlkonfigurationen und deren Auswirkungen.“

Kubernetes-Cluster gegen Fehlkonfigurationen absichern

Nautilus empfiehlt die Nutzung nativer Kubernetes-Funktionen wie RBAC und Richtlinien zur Zugangskontrolle, um Privilegien zu begrenzen und Richtlinien durchzusetzen, die die Sicherheit erhöhen. Sicherheitsteams können auch regelmäßige Audits von Kubernetes-Clustern implementieren, um Anomalien zu erkennen und schnelle Abhilfemaßnahmen zu ergreifen. Open-Source-Tools wie Aqua Trivy, Aqua Tracee und Kube-Hunter können beim Scannen von Kubernetes-Umgebungen hilfreich sein, um Anomalien und Schwachstellen zu erkennen und Exploits in Echtzeit zu verhindern. Durch den Einsatz dieser und anderer Abhilfestrategien können Unternehmen ihre Kubernetes-Sicherheit erheblich verbessern und sicherstellen, dass ihre Cluster vor gängigen Angriffen geschützt sind. Die vollständigen Ergebnisse und eine Liste von Empfehlungen zur Risikominderung finden sich in Aquas Blog.

„In den falschen Händen kann der Zugriff auf den Kubernetes-Cluster eines Unternehmens das Ende des Unternehmens bedeuten. Proprietärer Code, geistiges Eigentum, Kundendaten, Finanzdaten, Zugangsdaten und Verschlüsselungsschlüssel gehören zu den vielen sensiblen Vermögenswerten, die gefährdet sind“, kommentiert Assaf Morag. „Da Kubernetes in den letzten Jahren aufgrund seiner unbestreitbaren Fähigkeiten bei der Orchestrierung und Verwaltung von containerisierten Anwendungen bei Unternehmen enorm an Beliebtheit gewonnen hat, vertrauen Unternehmen ihren Clustern hochsensible Informationen und Token an. Diese Untersuchung ist ein Weckruf für die Bedeutung der Kubernetes-Sicherheit.“

Mehr bei AquaSec.com

 


Über Aqua Security

Aqua Security ist der größte Anbieter für reine cloud native Security. Aqua gibt seinen Kunden die Freiheit, Innovationen voranzutreiben und ihre digitale Transformation zu beschleunigen. Die Aqua-Plattform bietet Prävention, Erkennung und Reaktionsautomatisierung über den gesamten Lebenszyklus von Anwendungen, um die Lieferkette, die Cloud-Infrastruktur und laufende Workloads zu sichern – unabhängig davon, wo sie eingesetzt werden.


 

Passende Artikel zum Thema

Moxa-Industrie-Switch mit kritischer 9.2 Schwachstelle

Der Anbieter von industriellen Switchen Moxa meldet in seinem Security-Advisory eine kritische Schwachstelle mit dem CVSS-Basis-Score 9.2 von 10. Per ➡ Weiterlesen

BSI: Zero-Day Angriffe auf Ivanti Connect Secure

Das BSI warnt: Es gibt kritische Schwachstellen Ivanti-Produkten Connect Secure (ICS), Policy Secure und ZTA Gateway. Dazu hat der Hersteller ➡ Weiterlesen

Bedeutung der Datenverschlüsselung durch NIS2, Dora & Co

Datenverschlüsselung ist gerade besonders aktuell unter anderem durch die Geschäftsführerhaftung, NIS2, DORA und das Geschäftsgeheimnis-Schutzgesetz (GeschGehG). Das Whitepaper „Die Bedeutung ➡ Weiterlesen

Darknet: 15.000 Konfigurationsdateien für FortiGate-Firewalls

In einem Darknet-Forum hat die Hackergruppe "Belsen Group" über 15.000 einzigartige Konfigurationsdateien von FortiGate-Firewalls veröffentlicht. Obwohl die Daten relativ alt ➡ Weiterlesen

Gefahr: Infektion via Outlook ohne Dateiöffnung

Auch das BSI warnt: Durch eine kritische Schwachstelle ist es möglich, dass eine via Outlook empfangene E-Mail mit einem gefährlichen ➡ Weiterlesen

Cyberbedrohungen: Schädliche Dateien um 14 Prozent gestiegen

Auf 2024 zurückblickend, zeigt sich Folgendes: Vor allem Windows-Rechner sind das Ziel von Cyberbedrohungen. Angriffe durch Trojaner stiegen um 33 ➡ Weiterlesen

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen