翻譯:SEAL安全
原標題:
Over 900,000 Kube.NETes instances found exposed online
原文鏈接:
https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/
據 Beepingcomputer 消息,超過90萬個配置錯誤的 Kuberenetes 集群被發現暴露在互聯網上,可能會受到潛在的惡意掃描,有些甚至容易受到數據暴露所帶來的網絡攻擊。
Kubernetes 是一個被業界廣泛采用的開源容器編排引擎,用于托管在線服務并通過統一的 API 接口管理容器化工作負載。
由于其可擴展性、在多云環境中的靈活性、可移植性、成本、應用開發和系統部署時間的減少,它被企業廣為采用并且在近幾年內快速增長。
然而,如果 Kubernetes 配置不當,遠程攻擊者可能會利用錯誤配置訪問內部資源和私有資產,而這些資源和資產本來是不應該公開的。
此外,根據配置入侵者有時可以在容器中升級他們的權限,以打破隔離并轉向主機進程,從而使他們能夠初步進入企業內部網絡以進行進一步的攻擊。
查找暴露的Kubernetes
Cyble 的研究人員進行了一次演習,使用類似于惡意行為者使用的掃描工具和搜索查詢,在網絡上查找暴露的 Kubernetes 實例。
結果顯示,能發現90萬臺 Kubernetes服務器,其中65%(58.5萬臺)位于美國,14%在中國,9%在德國,而荷蘭和愛爾蘭各占6%。
在暴露的服務器中,暴露最多的TCP端口是 “443”,有超過一百萬個實例,端口“10250”的數量為231,200,而 “6443”端口有84,400個結果。
必須強調的是,并非所有這些暴露的集群都是可利用的。退一萬步來說,即使在那些可利用的集群中,其風險程度也因具體配置而異。
高風險的情況
為了評估有多少暴露的實例可能存在重大風險,Cyble 研究了對 Kubelet API 的未經認證的請求所返回的錯誤代碼。
絕大多數暴露的實例返回錯誤代碼403,這意味著未經認證的請求被禁止,無法通過,所以不能對它們進行攻擊。
然后有一個包含大約5000個實例的子集,返回錯誤代碼401,表示該請求未經授權。
然而,這個響應給了潛在的攻擊者一個提示,即此集群正在運行,因此他們可以利用漏洞嘗試其他攻擊。
最后,有一個包含799個 Kubernetes 實例的子集返回狀態碼為 200,這意味著這些實例完全暴露給外部攻擊者。
在這些情況下,攻擊者無需密碼即可訪問 Kubernetes Dashboard 上的節點、訪問所有 Secret、執行操作等。
雖然易受攻擊的 Kubernetes 服務器的數量相當少,但只需要發現一個可遠程利用的漏洞,就會有更多的設備容易受到攻擊。
為了確保你的集群不在這799個實例中,甚至不在暴露程度較低的5000個實例中,請參考 NSA 和 CISA 關于加固Kubernetes系統安全的指南:
https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/
掌握安全狀況
上個月,Shadowserver 基金會發布了一份關于暴露的 Kubernetes 實例的報告,他們發現了38萬個唯一IP響應了 HTTP 錯誤代碼200。
Cyble 告訴 BleepingComputer,造成這種巨大差異的原因是,他們使用了開源掃描器和簡單查詢,這是任何威脅者都可以使用的。而 Shadowserver 則掃描了整個IPv4空間,并每天監測新增內容。
“我們最終發布的 Kubernetes 博客中提供的統計數據是基于開源掃描器和產品可用的查詢。正如博客中提到的,我們根據查詢 ‘Kubernetes’、‘Kubernetes-master’、‘KubernetesDashboard’、‘K8’ 和 favicon hashes 以及狀態代碼200、403和401進行了搜索。”Cyble解釋說。
“據他們的博客內容顯示,Shadowserver 采取了一種不同的方法來查找暴露情況,‘我們每天使用 /version URI的HTTP GET請求進行掃描。掃描6443和443端口的所有IPv4空間,并且只包括響應 200 OK(附帶JSON響應)的Kubernetes服務器,因此在其響應中披露版本信息。’”
“由于我們不像 Shadowserver 那樣掃描完整的IPv4空間,而是依靠開源工具提供的情報,所以我們得到的結果與 Shadowserver 不同。”
雖然 Cyble 的數據可能沒有那么令人印象深刻,但從這些數據背后的 Kubernetes 集群容易定位和攻擊的角度來看,它們非常重要。
