Aqua Security 的研究团队 Aqua Nautilus 发现数百个组织的 Kubernetes 集群受到攻击。
这位云原生安全专家宣布,一项为期三个月的调查显示,属于 350 多个组织、开源项目和个人的 Kubernetes 集群可公开访问且不受保护。
一个值得注意的集群子集与大型企业集团和财富 500 强公司有联系。这些集群中至少有 60% 遭到破坏,并且存在部署了恶意软件和后门的活跃活动。
Nautilus 将这次暴露归因于两种错误配置,强调已知和未知的错误配置如何在野外被积极利用,并可能造成灾难性的后果。
如果落入坏人之手,访问公司的 Kubernetes 集群可能会导致业务终结。”
专有代码、知识产权、客户数据、财务记录、访问凭证和加密密钥都是面临风险的众多敏感资产。”
由于 Kubernetes 在编排和管理容器化应用程序方面具有无可否认的能力,近年来在企业中获得了极大的普及,因此组织正在将高度敏感的信息和令牌委托到其集群中。
这项研究敲响了关于 Kubernetes 安全重要性的警钟。
在研究中,Nautilus 强调了一个众所周知的错误配置,该错误配置允许具有特权的匿名访问。
第二个鲜为人知的问题是“kubectl”代理的错误配置,其标志在不知不觉中将 Kubernetes 集群暴露到互联网。
受影响的主机包括各个行业的组织,包括金融服务、航空航天、汽车、工业和安全等。
最令人担忧的是开源项目和毫无戒心的开发人员,他们可能会无意中信任并下载恶意软件包。如果受到损害,它可能会引发供应链感染媒介,从而影响数百万用户。
我们分析了许多现实世界的事件,攻击者利用这些错误配置来部署恶意软件、加密货币挖矿程序和后门。
尽管存在潜在风险和像 Aqua 的软件供应链安全套件这样的工具,但各种规模和行业的组织中仍然存在错误配置。显然,Kubernetes 的安全知识和管理方面存在差距。
这些调查结果强调,如果不妥善解决漏洞,可能会造成广泛的损害。
Nautilus 联系了他们确定的可访问集群所有者,并表示他们收到的回复“令人不安”。
令我们惊讶的是,最初的反应是冷漠的。许多人说他们的集群‘只是登台或测试环境。
然而,当我们从攻击者的角度向他们展示攻击的全部潜力以及对其组织可能造成的破坏性影响时,他们都感到震惊并立即解决了问题。
人们显然缺乏对错误配置风险及其影响的理解和认识。
Nautilus 发现大约 60% 的集群正受到加密矿工的攻击,并创建了第一个已知的 Kubernetes 蜜罐环境来收集有关这些攻击的进一步数据,以揭示这些正在进行的活动。
在主要发现中,Nautilus 发现了最近报道的新颖且高度攻击性的 Silentbob 活动,揭示了针对 Kubernetes 集群的 TeamTNT 的死灰复燃。
研究人员还发现了一个基于角色的访问控制 (RBAC) Buster 活动,旨在创建隐藏的后门和加密货币挖矿活动,包括更广泛地执行先前发现的 Dero 活动,并使用累积多次提取的附加容器映像。
Nautilus 建议利用本机 Kubernetes 功能(例如 RBAC 和准入控制策略)来限制权限并执行增强安全性的策略。
安全团队还可以对 Kubernetes 集群进行定期审核,以识别异常情况并采取快速补救措施。
Aqua 平台和开源工具(例如 Aqua Trivy、Aqua Tracee 和 Kube-Hunter)可以帮助扫描 Kubernetes 环境、检测异常和弱点并实时防止漏洞利用。
组织可以通过采用这些缓解策略来显着增强 Kubernetes 安全性,确保其集群免受常见攻击。