Oltre 350 cluster Kubernetes aziendali e individuali compromessi sono dovuti a due errori di configurazione. Una società di sicurezza nativa del cloud lo ha recentemente dimostrato.
Aqua Security ha identificato cluster Kubernetes di oltre 350 organizzazioni, progetti open source e individui apertamente accessibili e non protetti. Questo è stato il risultato di diversi mesi di ricerca da parte del gruppo di ricerca “Nautilus” di Aqua. Un notevole sottoinsieme di cluster era associato a grandi conglomerati e aziende Fortune 500. Almeno il 60% di questi cluster sono stati attaccati e avevano una campagna attiva con malware e backdoor distribuiti. Le vulnerabilità erano dovute a due configurazioni errate, dimostrando come configurazioni errate conosciute e sconosciute possano essere sfruttate attivamente in natura e avere conseguenze catastrofiche.
Errori di configurazione noti consentono l'accesso ai privilegi
Nell'indagine Nautilus sottolinea un noto errore di configurazione che consente l'accesso anonimo con privilegi. Il secondo problema meno noto era un'errata configurazione del proxy "kubectl" con flag che esponevano inconsapevolmente il cluster Kubernetes a Internet. Gli host interessati includevano organizzazioni di diversi settori, tra cui servizi finanziari, aerospaziale, automobilistico, industriale e di sicurezza. I più preoccupanti erano i progetti open source e gli ignari sviluppatori che potevano accidentalmente fidarsi e scaricare un pacchetto dannoso. Se compromesso, potrebbe innescare un vettore di infezione nella catena di fornitura del software, colpendo milioni di utenti.
Campagne in corso contro i cluster Kubernetes
Nautilus ha scoperto che circa il 60% dei cluster sono stati attaccati attivamente dai cryptominer e ha creato il primo ambiente Kubernetes Honeypot conosciuto per raccogliere ulteriori dati su questi attacchi e far luce sulle campagne in corso. I risultati principali includono che Nautilus ha scoperto la nuova e altamente aggressiva campagna Silentbob recentemente segnalata, rivelando la rinascita di TeamTNT sui cluster Kubernetes. I ricercatori hanno anche scoperto una campagna buster di controllo degli accessi basata sui ruoli (RBAC) per creare una backdoor nascosta, nonché campagne di cryptomining, inclusa un'esecuzione più ampia della campagna Dero precedentemente scoperta con immagini di contenitori aggiuntive, per un totale di centinaia di migliaia di pull.
Mancanza di comprensione e consapevolezza dei rischi di configurazioni errate
Nautilus ha contattato i proprietari dei cluster accessibili identificati e anche le risposte sono state preoccupanti. Assaf Morag, analista senior di threat intelligence presso Aqua Nautilus, spiega: “Siamo rimasti stupiti dal fatto che la reazione iniziale sia stata l’indifferenza. Molti hanno affermato che i loro cluster erano "solo ambienti di preparazione o test". Tuttavia, quando abbiamo mostrato loro tutto il potenziale di un attacco dal punto di vista di un aggressore e l'impatto potenzialmente devastante sulle loro organizzazioni, sono rimasti tutti scioccati e hanno immediatamente risolto il problema. C’è una chiara mancanza di comprensione e consapevolezza dei rischi di configurazioni errate e del loro impatto”.
Proteggi i cluster Kubernetes da configurazioni errate
Nautilus consiglia di sfruttare le funzionalità native di Kubernetes come RBAC e le policy di controllo degli accessi per limitare i privilegi e applicare policy che aumentano la sicurezza. I team di sicurezza possono anche implementare controlli regolari dei cluster Kubernetes per rilevare anomalie e intraprendere azioni correttive rapide. Strumenti open source come Aqua Trivy, Aqua Tracee e Kube-Hunter possono essere utili nella scansione degli ambienti Kubernetes per rilevare anomalie e vulnerabilità e prevenire exploit in tempo reale. Impiegando queste e altre strategie di riparazione, le organizzazioni possono migliorare significativamente la sicurezza di Kubernetes e garantire che i propri cluster siano protetti dagli attacchi comuni. I risultati completi e un elenco di raccomandazioni per la mitigazione del rischio sono disponibili sul blog di Aqua.
“Nelle mani sbagliate, l’accesso al cluster Kubernetes di un’azienda può significare la fine dell’azienda. Codice proprietario, proprietà intellettuale, dati dei clienti, dati finanziari, credenziali e chiavi di crittografia sono tra i tanti beni sensibili a rischio”, commenta Assaf Morag. “Poiché Kubernetes ha guadagnato un’enorme popolarità tra le aziende negli ultimi anni grazie alle sue innegabili capacità nell’orchestrazione e nella gestione di applicazioni containerizzate, le aziende stanno affidando ai propri cluster informazioni e token altamente sensibili. Questa indagine è un campanello d’allarme sull’importanza della sicurezza di Kubernetes”.
Altro su AquaSec.com
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.