350'den fazla güvenliği ihlal edilmiş kurumsal ve bireysel Kubernetes kümesi iki yanlış yapılandırmadan kaynaklanmaktadır. Bulut tabanlı bir güvenlik şirketi yakın zamanda bunu gösterdi.
Aqua Security, 350'den fazla kuruluştan, açık kaynaklı projeden ve kişiden, açık olarak erişilebilen ve korunmayan Kubernetes kümelerini belirledi. Bu, Aqua'nın “Nautilus” araştırma ekibinin birkaç ay süren araştırmasının sonucuydu. Kümelenmelerin dikkate değer bir alt kümesi büyük holdingler ve Fortune 500 şirketleri ile ilişkilendirilmiştir. Bu kümelerin en az yüzde 60'ı saldırıya uğradı ve kötü amaçlı yazılımların ve arka kapıların konuşlandırıldığı aktif bir kampanyaya sahipti. Güvenlik açıkları iki yanlış yapılandırmadan kaynaklanıyordu; bu da bilinen ve bilinmeyen yanlış yapılandırmaların vahşi ortamda nasıl aktif olarak kullanılabileceğini ve felaketle sonuçlanabileceğini gösteriyor.
Bilinen yanlış yapılandırmalar ayrıcalıklara erişime izin verir
Soruşturmada Nautilus, ayrıcalıklarla anonim erişime izin veren bilinen bir yanlış yapılandırmaya işaret ediyor. Daha az bilinen ikinci sorun ise "kubectl" proxy'sinin, Kubernetes kümesini bilmeden internete maruz bırakan bayraklarla yanlış yapılandırılmasıydı. Etkilenen ev sahipleri arasında finansal hizmetler, havacılık, otomotiv, sanayi ve güvenlik gibi çeşitli sektörlerden kuruluşlar yer alıyordu. En çok endişe duyanlar açık kaynak projeleri ve kazara güvenip kötü amaçlı bir paket indirebilen şüphelenmeyen geliştiricilerdi. Güvenliği ihlal edilirse, yazılım tedarik zincirinde milyonlarca kullanıcıyı etkileyen bir enfeksiyon vektörü tetiklenebilir.
Kubernetes kümelerine karşı devam eden kampanyalar
Nautilus, kümelerin yaklaşık yüzde 60'ının aktif olarak kripto madencileri tarafından saldırıya uğradığını tespit etti ve bu saldırılarla ilgili daha fazla veri toplamak ve devam eden kampanyalara ışık tutmak için bilinen ilk Kubernetes Honeypot ortamını oluşturdu. Önemli bulgular arasında Nautilus'un yakın zamanda bildirilen yeni ve son derece agresif Silentbob kampanyasını keşfetmesi yer alıyor ve bu kampanya TeamTNT'nin Kubernetes kümelerinde yeniden dirilişini ortaya koyuyor. Araştırmacılar ayrıca, gizli bir arka kapı oluşturmak için rol tabanlı bir erişim kontrolü (RBAC) engelleme kampanyasının yanı sıra, daha önce keşfedilen Dero kampanyasının ek kapsayıcı görüntülerle daha büyük bir şekilde yürütülmesini içeren ve toplam yüzbinlerce çekime ulaşan kripto madencilik kampanyalarını da keşfetti.
Yanlış yapılandırma risklerine ilişkin anlayış ve farkındalık eksikliği
Nautilus, belirlediği erişilebilir küme sahipleriyle temasa geçti ve yanıtlar da rahatsız ediciydi. Aqua Nautilus'un kıdemli tehdit istihbaratı analisti Assaf Morag şöyle açıklıyor: "İlk tepkinin kayıtsızlık olmasına şaşırdık. Birçoğu, kümelerinin "sadece ortamları hazırlama veya test etme" olduğunu söyledi. Ancak onlara bir saldırganın bakış açısından bir saldırının tüm potansiyelini ve kuruluşları üzerindeki potansiyel yıkıcı etkisini gösterdiğimizde hepsi şok oldu ve sorunu hemen çözdüler. Yanlış yapılandırma riskleri ve bunların etkileri konusunda açık bir anlayış ve farkındalık eksikliği var."
Kubernetes kümelerini yanlış yapılandırmalara karşı koruyun
Nautilus, ayrıcalıkları sınırlamak ve güvenliği artıran politikaları uygulamak için RBAC gibi yerel Kubernetes özelliklerinden ve erişim kontrolü politikalarından yararlanılmasını önerir. Güvenlik ekipleri ayrıca anormallikleri tespit etmek ve hızlı düzeltici önlemler almak için Kubernetes kümelerinde düzenli denetimler uygulayabilir. Aqua Trivy, Aqua Tracee ve Kube-Hunter gibi açık kaynak araçlar, anormallikleri ve güvenlik açıklarını tespit etmek ve gerçek zamanlı olarak istismarları önlemek için Kubernetes ortamlarının taranmasında yardımcı olabilir. Kuruluşlar, bunları ve diğer iyileştirme stratejilerini kullanarak Kubernetes güvenliğini önemli ölçüde artırabilir ve kümelerinin yaygın saldırılara karşı korunmasını sağlayabilir. Tam sonuçlar ve risk azaltma önerilerinin bir listesi Aqua'nın blogunda bulunabilir.
"Yanlış ellerde bir şirketin Kubernetes kümesine erişim şirketin sonu anlamına gelebilir. Tescilli kod, fikri mülkiyet, müşteri verileri, finansal veriler, kimlik bilgileri ve şifreleme anahtarları risk altındaki birçok hassas varlık arasında yer alıyor" yorumunu yapıyor Assaf Morag. “Kubernetes, konteynerli uygulamaları düzenleme ve yönetme konusundaki yadsınamaz yetenekleri nedeniyle son yıllarda işletmeler arasında muazzam bir popülerlik kazandığından, işletmeler kümelerine son derece hassas bilgiler ve belirteçler emanet ediyor. Bu soruşturma Kubernetes güvenliğinin önemi konusunda bir uyandırma çağrısıdır.”
AquaSec.com'da daha fazlası
Aqua Güvenlik Hakkında Aqua Security, en büyük saf bulut yerel güvenlik sağlayıcısıdır. Aqua, müşterilerine yenilik yapma ve dijital dönüşümlerini hızlandırma özgürlüğü veriyor. Aqua Platform, tedarik zincirini, bulut altyapısını ve devam eden iş yüklerini nerede devreye alındıklarından bağımsız olarak güvence altına almak için uygulama yaşam döngüsü boyunca önleme, tespit ve yanıt otomasyonu sağlar.