Mais de 350 clusters empresariais e individuais do Kubernetes comprometidos são devido a duas configurações incorretas. Uma empresa do setor de segurança nativa da nuvem demonstrou isso recentemente.
A Aqua Security identificou clusters Kubernetes de mais de 350 organizações, projetos de código aberto e indivíduos que eram abertamente acessíveis e desprotegidos. Este foi o resultado de vários meses de pesquisa da equipe de pesquisa “Nautilus” da Aqua. Um subconjunto notável de clusters estava associado a grandes conglomerados e empresas Fortune 500. Pelo menos 60% desses clusters foram atacados e tiveram uma campanha ativa com malware e backdoors implantados. As vulnerabilidades foram devidas a duas configurações incorretas, ilustrando como configurações incorretas conhecidas e desconhecidas podem ser exploradas ativamente e ter consequências catastróficas.
Configurações incorretas conhecidas permitem acesso a privilégios
Na investigação, o Nautilus aponta para uma configuração incorreta conhecida que permite acesso anônimo com privilégios. O segundo problema menos conhecido foi uma configuração incorreta do proxy `kubectl` com sinalizadores que expôs inadvertidamente o cluster Kubernetes à Internet. Os anfitriões afetados incluíram organizações de diversos setores, incluindo serviços financeiros, aeroespacial, automotivo, industrial e de segurança. O mais preocupante eram os projetos de código aberto e os desenvolvedores desavisados que poderiam acidentalmente confiar e baixar um pacote malicioso. Se comprometido, poderá desencadear um vetor de infecção na cadeia de fornecimento de software, impactando milhões de usuários.
Campanhas em andamento contra clusters Kubernetes
A Nautilus descobriu que cerca de 60% dos clusters foram atacados ativamente por criptomineradores e criou o primeiro ambiente Kubernetes Honeypot conhecido para coletar mais dados sobre esses ataques e esclarecer essas campanhas em andamento. As principais descobertas incluem que o Nautilus descobriu a nova e altamente agressiva campanha Silentbob recentemente relatada, revelando o ressurgimento do TeamTNT em clusters Kubernetes. Os pesquisadores também descobriram uma campanha destruidora de controle de acesso baseado em função (RBAC) para criar um backdoor oculto, bem como campanhas de criptomineração, incluindo uma execução maior da campanha Dero descoberta anteriormente com imagens de contêiner adicionais, totalizando centenas de milhares de pulls.
Falta de compreensão e consciência dos riscos de configurações incorretas
A Nautilus entrou em contato com os proprietários de clusters acessíveis que identificou e as respostas também foram preocupantes. Assaf Morag, analista sênior de inteligência de ameaças da Aqua Nautilus, explica: “Ficamos surpresos ao ver que a reação inicial foi de indiferença. Muitos disseram que seus clusters eram “apenas ambientes de preparação ou teste”. No entanto, quando lhes mostrámos todo o potencial de um ataque do ponto de vista de um atacante e o impacto potencialmente devastador nas suas organizações, todos ficaram chocados e resolveram imediatamente o problema. Há uma clara falta de compreensão e consciência dos riscos de configurações incorretas e do seu impacto.”
Proteja clusters Kubernetes contra configurações incorretas
A Nautilus recomenda aproveitar recursos nativos do Kubernetes, como RBAC e políticas de controle de acesso, para limitar privilégios e aplicar políticas que aumentem a segurança. As equipes de segurança também podem implementar auditorias regulares de clusters Kubernetes para detectar anomalias e tomar medidas corretivas rápidas. Ferramentas de código aberto como Aqua Trivy, Aqua Tracee e Kube-Hunter podem ser úteis na varredura de ambientes Kubernetes para detectar anomalias e vulnerabilidades e evitar explorações em tempo real. Ao empregar essas e outras estratégias de remediação, as organizações podem melhorar significativamente a segurança do Kubernetes e garantir que seus clusters estejam protegidos contra ataques comuns. Os resultados completos e uma lista de recomendações de mitigação de riscos podem ser encontrados no blog do Aqua.
“Nas mãos erradas, o acesso ao cluster Kubernetes de uma empresa pode significar o fim da empresa. Código proprietário, propriedade intelectual, dados de clientes, dados financeiros, credenciais e chaves de criptografia estão entre os muitos ativos sensíveis em risco”, comenta Assaf Morag. “Como o Kubernetes ganhou enorme popularidade entre as empresas nos últimos anos devido às suas inegáveis capacidades de orquestração e gerenciamento de aplicações em contêineres, as empresas estão confiando aos seus clusters informações e tokens altamente confidenciais. Esta investigação é um alerta sobre a importância da segurança do Kubernetes.”
Mais em AquaSec.com
Sobre a Aqua Security Aqua Security é o maior provedor de segurança nativa de nuvem pura. A Aqua oferece a seus clientes a liberdade de inovar e acelerar sua transformação digital. A Aqua Platform fornece automação de prevenção, detecção e resposta em todo o ciclo de vida do aplicativo para proteger a cadeia de suprimentos, a infraestrutura de nuvem e as cargas de trabalho contínuas, independentemente de onde são implantados.