錯誤配置Argo Workflows將會(huì )使Kubernetes云集群遭受攻
發(fā)布時(shí)間:2021-11-19 11:33
來(lái)源:FreeBuf
閱讀:0
作者:中科天齊軟件安全
欄目: 網(wǎng)絡(luò )安全
歡迎投稿:712375056
Argo面向Web的儀表板的錯誤配置權限允許未經(jīng)身份驗證的攻擊者在Kubernetes目標上運行代碼��,包括加密采礦容器��。
面向Web的儀表板的錯誤配置權限允許未經(jīng)身份驗證的攻擊者在目標上運行代碼��,包括加密采礦容器��。
安全研究人員警告說(shuō)����,Kubernetes 正受到配置錯誤的Argo 實(shí)例的攻擊��。
Argo Workflows是一個(gè)開(kāi)源的容器原生工作流引擎�����,用于在Kubernetes上協(xié)作并行任務(wù)�����,以加快機器學(xué)習和大數據處理等計算密集型任務(wù)的處理時(shí)間�。它通常還用于簡(jiǎn)化容器部署�。與此同時(shí)���,Kubernetes是一種流行的容器編排引擎��,用于管理云部署���。
根據Intezer的一項分析�����,惡意軟件運營(yíng)商正在通過(guò)Argo將加密礦工放入云端�����,這是因為一些實(shí)例可以通過(guò)儀表盤(pán)公開(kāi)�����,不需要外部用戶(hù)進(jìn)行認證����。因此�����,這些錯誤配置的權限可能允許網(wǎng)絡(luò )犯罪分子在受害者的環(huán)境中運行未經(jīng)授權的代碼����。
根據周二發(fā)布的分析����,“大多數情況下����,權限配置允許任何訪(fǎng)問(wèn)用戶(hù)部署工作流�����。” “在權限配置錯誤的情況下�,攻擊者有可能訪(fǎng)問(wèn)開(kāi)放的Argo儀表板�,并提交他們自己的工作流程�����。”
研究人員表示���,錯誤配置還可能暴露敏感信息���,例如代碼��、憑據和私有容器映像名稱(chēng)(可用于協(xié)助其他類(lèi)型的攻擊)�����。
通過(guò)對網(wǎng)絡(luò )的掃描發(fā)現大量不受保護的實(shí)例����,這些實(shí)例公司涵蓋多個(gè)行業(yè)�,包括技術(shù)�、金融和物流�����。網(wǎng)絡(luò )安全公司表示:目前已經(jīng)確定了受感染的節點(diǎn)����,并且由于數百個(gè)錯誤配置的部署��,有可能發(fā)生更大規模的攻擊��。
在一個(gè)案例中�����,錯誤代碼在Docker Hub中一個(gè)暴露的集群上運行了九個(gè)月����,然后才被發(fā)現和刪除�����。
攻擊并不難實(shí)施
研究人員觀(guān)察到不同流行的monero挖礦惡意軟件被放置在位于Docker Hub等存儲庫(包括 Kannix和XMRig)的容器中�。
網(wǎng)絡(luò )犯罪分子只需通過(guò)Argo或其他途徑將其中一個(gè)容器拉入Kubernetes����。例如����,微軟最近標記了一波礦工通過(guò)Kubeflow框架感染Kubernetes����,以運行機器學(xué)習工作流��。
研究人員表示:在Docker Hub中����,攻擊者仍然可以使用許多monero挖礦選項���。 通過(guò)簡(jiǎn)單的搜索�����,就能發(fā)現至少有45個(gè)其他容器�,并且下載量達數百萬(wàn)次�����。
如何檢查Argo配置錯誤
研究人員指出����,查看權限是否配置正確的最快方法是嘗試從公司環(huán)境之外的未經(jīng)認證的匿名瀏覽器訪(fǎng)問(wèn)Argo工作流儀表板��。
研究人員補充說(shuō)�,從技術(shù)手段上來(lái)說(shuō)�,可以查詢(xún)實(shí)例的API并檢查狀態(tài)代碼����。
根據分析��,向 [your.instance:port]/api/v1/info 發(fā)出HTTP GET 請求��。作為未經(jīng)身份驗證的用戶(hù)�����,返回的HTTP狀態(tài)代碼 '401 Unauthorized' 將指示正確配置的實(shí)例��,而成功的狀態(tài)代碼 '200 Success' 可能表明未經(jīng)授權的用戶(hù)能夠訪(fǎng)問(wèn)該實(shí)例�����。
管理員還可以檢查日志和工作流時(shí)間線(xiàn)中的任何可疑活動(dòng)�����。網(wǎng)絡(luò )安全公司指出����,任何運行時(shí)間過(guò)長(cháng)的工作流都可能表明存在加密挖礦活動(dòng)�����。
即使集群部署在A(yíng)mazon Web Service (AWS)�����、EKS 或Azure Kubernetes Service (AKS) 等托管云Kubernetes服務(wù)上�,共享責任模型仍然表明��,云客戶(hù)�,而不是云提供商��,有必要負責對他們部署的應用程序進(jìn)行必要的安全配置����。
云錯誤配置提供網(wǎng)絡(luò )攻擊媒介
錯誤配置繼續困擾著(zhù)各種規模的云計算部門(mén)和企業(yè)��。去年秋天的一項分析發(fā)現��,6%的谷歌云存儲桶配置錯誤�,對公共互聯(lián)網(wǎng)開(kāi)放��,任何人都可以訪(fǎng)問(wèn)它們的內容�����。
有時(shí)���,這些問(wèn)題將會(huì )造成嚴重的網(wǎng)絡(luò )安全事故�。3月份有消息稱(chēng)���,Hobby Lobby 將138GB的敏感信息存放在一個(gè)向公眾互聯(lián)網(wǎng)開(kāi)放的云容器中�。這些信息包括客戶(hù)姓名���、部分支付卡信息���、電話(huà)號碼�����、物理地址和電子郵件地址����。
根據云原生計算基金會(huì )(CNCF) 2020年的一項調查���,91%的受訪(fǎng)者正在使用Kubernetes�����,受訪(fǎng)者表示使用和部署容器的最大挑戰是復雜性��、安全性和缺乏相關(guān)培訓�����。
網(wǎng)絡(luò )安全人員稱(chēng)�,Kubernetes是GitHub上最受歡迎的存儲庫之一�,擁有超過(guò)100,000次提交和超過(guò)3,000名貢獻者���。每年使用Kubernetes的企業(yè)及其部署的集群數量都在穩步增長(cháng)��。由于企業(yè)在使用容器和Kubernetes 集群時(shí)面臨這些挑戰�,攻擊者利用安全漏洞的機會(huì )相應增大���,尤其錯誤配置或利用的可能性仍然存在����。
安全漏洞為網(wǎng)絡(luò )犯罪分子提供了大量機會(huì )��,數據顯示����,90%以上的網(wǎng)絡(luò )安全問(wèn)題是由軟件自身的安全漏洞被利用導致!因此軟件產(chǎn)品在開(kāi)發(fā)過(guò)程中建議將安全前置�����,通過(guò)在開(kāi)發(fā)周期過(guò)程中加強軟件安全測試��,來(lái)減少系統安全漏洞��,降低被網(wǎng)絡(luò )犯罪分子攻擊的幾率�����。
參讀鏈接:https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/
原文鏈接:https://www.freebuf.com/news/281862.html
