Понад 350 скомпрометованих корпоративних та окремих кластерів Kubernetes викликані двома неправильними конфігураціями. Нещодавно це продемонструвала компанія, що займається хмарною безпекою.
Aqua Security ідентифікувала кластери Kubernetes у понад 350 організаціях, проектах із відкритим кодом і окремих осіб, які були відкрито доступні та незахищені. Це результат кількох місяців досліджень дослідницької групи «Наутілус» компанії Aqua. Значна підгрупа кластерів була пов’язана з великими конгломератами та компаніями зі списку Fortune 500. Принаймні 60 відсотків цих кластерів були атаковані та мали активну кампанію з розгорнутим шкідливим програмним забезпеченням і бекдорами. Уразливості виникли через дві неправильні конфігурації, що ілюструє, як відомі та невідомі неправильні конфігурації можна активно використовувати в дикій природі та мати катастрофічні наслідки.
Відомі неправильні налаштування дозволяють отримати доступ до привілеїв
У розслідуванні Nautilus вказує на відому неправильну конфігурацію, яка дозволяє анонімний доступ із привілеями. Другою менш відомою проблемою була неправильна конфігурація проксі-сервера `kubectl` з прапорцями, які несвідомо відкривали кластер Kubernetes для Інтернету. Постраждалі організації з різних галузей, зокрема фінансових послуг, аерокосмічної, автомобільної, промислової та безпеки. Найбільше занепокоєння викликали проекти з відкритим кодом і нічого не підозрюючі розробники, які могли випадково довіритися та завантажити шкідливий пакет. У разі скомпрометації можна запустити вектор інфекції в ланцюжку постачання програмного забезпечення, що вплине на мільйони користувачів.
Поточні кампанії проти кластерів Kubernetes
Nautilus виявив, що близько 60 відсотків кластерів активно атакували криптомайнери, і створив перше відоме середовище Kubernetes Honeypot для збору додаткових даних про ці атаки та пролиття світла на поточні кампанії. Ключові висновки включають те, що Nautilus нещодавно виявив нову та дуже агресивну кампанію Silentbob, яка виявила відродження TeamTNT у кластерах Kubernetes. Дослідники також виявили кампанію блокування на основі рольового контролю доступу (RBAC) для створення прихованого бекдору, а також кампанії криптомайнінгу, включаючи більш масштабне виконання раніше виявленої кампанії Dero з додатковими зображеннями контейнерів, загалом сотні тисяч вилучень.
Відсутність розуміння та усвідомлення ризиків неправильної конфігурації
Nautilus зв’язався з ідентифікованими власниками доступних кластерів, і відповіді також викликали тривогу. Ассаф Мораг, старший аналітик із розвідки загроз в Aqua Nautilus, пояснює: «Ми були вражені, що початковою реакцією була байдужість. Багато хто сказав, що їхні кластери були «просто тестовими середовищами». Однак коли ми показали їм увесь потенціал атаки з точки зору зловмисника та потенційно руйнівний вплив на їхні організації, усі вони були шоковані та негайно вирішили проблему. Існує явний брак розуміння й усвідомлення ризиків неправильної конфігурації та їх впливу».
Захистіть кластери Kubernetes від неправильної конфігурації
Nautilus рекомендує використовувати власні функції Kubernetes, такі як RBAC і політики контролю доступу, щоб обмежити привілеї та застосувати політики, які підвищують безпеку. Команди безпеки також можуть здійснювати регулярні аудити кластерів Kubernetes, щоб виявляти аномалії та швидко вживати заходів для їх усунення. Такі інструменти з відкритим кодом, як Aqua Trivy, Aqua Tracee та Kube-Hunter, можуть бути корисними для сканування середовищ Kubernetes для виявлення аномалій і вразливостей і запобігання експлойтам у режимі реального часу. Застосовуючи ці та інші стратегії відновлення, організації можуть значно покращити безпеку Kubernetes і забезпечити захист своїх кластерів від поширених атак. Повні результати та список рекомендацій щодо зменшення ризиків можна знайти в блозі Aqua.
«У чужих руках доступ до кластера Kubernetes компанії може означати кінець компанії. Власний код, інтелектуальна власність, дані клієнтів, фінансові дані, облікові дані та ключі шифрування є одними з багатьох конфіденційних активів, які знаходяться під загрозою», – коментує Ассаф Мораг. «Оскільки останніми роками Kubernetes набув величезної популярності серед підприємств завдяки своїм незаперечним можливостям оркеструвати та керувати контейнерними програмами, підприємства довіряють своїм кластерам дуже конфіденційну інформацію та токени. Це розслідування – тривожний дзвінок про важливість безпеки Kubernetes».
Більше на AquaSec.com
Про Aqua Security Aqua Security є найбільшим постачальником нативної безпеки в чистій хмарі. Aqua дає своїм клієнтам свободу впроваджувати інновації та прискорювати свою цифрову трансформацію. Платформа Aqua Platform забезпечує запобігання, виявлення та автоматизацію реагування протягом життєвого циклу додатків, щоб захистити ланцюжок поставок, хмарну інфраструктуру та поточні робочі навантаження — незалежно від того, де вони розгорнуті.