Analysten des Cybersicherheitsunternehmens Intezer haben herausgefunden, dass Cyberkriminelle jetzt über falsch konfigurierte Argo Workflows-Instanzen einen neuen Angriffsvektor gegen Kubernetes-Cluster verfolgen.
Die Sicherheitsforscher von Intezer, Ryan Robinson und Nicole Fishbein, schrieben einen Bericht über den Angriff und stellten fest, dass sie bereits infizierte Knoten gefunden haben. Die beiden sagten, die Angriffe seien besorgniserregend, da es Hunderte von falsch konfigurierten Bereitstellungen gebe und Angreifer entdeckt wurden, die Kryptominer wie den Kannix/Monero-Miner über diesen Angriffsvektor fallen lassen.
„Wir haben exponierte Instanzen von Argo Workflows entdeckt, die Unternehmen aus verschiedenen Sektoren gehören, darunter Technologie, Finanzen und Logistik. Argo Workflows ist eine containernative Open-Source-Workflow-Engine, die für die Ausführung auf K8s-Clustern entwickelt wurde. Argo Workflows-Instanzen mit falsch konfigurierten Berechtigungen ermöglichen Bedrohungsakteure, nicht autorisierten Code in der Umgebung des Opfers auszuführen”, sagten Robinson und Fishbein.
„Offengelegte Instanzen können sensible Informationen wie Code, Anmeldeinformationen und private Container-Image-Namen enthalten. Wir haben auch festgestellt, dass in vielen Fällen Berechtigungen konfiguriert sind, die es jedem besuchenden Benutzer ermöglichen, Workflows bereitzustellen Akteure.”
Einige Cyber-Angreifer konnten sich falsch konfigurierte Berechtigungen zunutze machen, die ihnen Zugriff auf ein offenes Argo-Dashboard geben, wo sie ihren eigenen Workflow einreichen können.
Die “kannix/monero .” -miner”, so die Forscher, erfordert nur wenig Geschick und der Bericht stellt fest, dass andere Sicherheitsteams groß angelegte Kryptowährungs-Mining-Angriffe gegen Kubernetes-Cluster entdeckt haben.
„Im Docker Hub gibt es noch eine Reihe von Optionen für das Monero-Mining, die Angreifer nutzen können. Bei einer einfachen Suche zeigt sich, dass es mindestens 45 weitere Container mit Millionen von Downloads gibt“, heißt es in der Studie.
Fishbein und Robinson fordern die Benutzer auf, über einen nicht authentifizierten Inkognito-Browser außerhalb von Unternehmensumgebungen auf das Dashboard von Argo Workflows zuzugreifen, um zu überprüfen, ob Instanzen falsch konfiguriert sind.
Administratoren können auch die API einer Instanz abfragen und den Statuscode überprüfen.
muss lesen
Was ist Kubernetes? Wie Orchestrierung das Rechenzentrum neu definiert
In etwas mehr als vier Jahren hat das aus Googles internem Containermanagement hervorgegangene Projekt die besten Pläne von VMware, Microsoft, Oracle und allen anderen Möchtegern-Datenkönigen auf den Kopf gestellt center.
Weiterlesen
Yaniv Bar-Dayan, CEO von Vulcan Cyber, erklärte, dass die Komplexität und der Umfang der Cloud-Bereitstellungen in Unternehmen bedeuten, dass es Verstöße durch menschliches Versagen sein.
„Fehlkonfigurationen sind nur eine Art von risikoerzeugender Schwachstelle, und die Cloud ist nur ein Angriffsvektor, der verfolgt und abgewehrt werden muss. Wenn Sicherheitsteams Risiken durch Cloud-Fehlkonfigurationen neben IT-Infrastruktur- und Anwendungsschwachstellen verstehen und priorisieren können, haben sie eine Chance Risiken zu reduzieren und die Sicherheitslage des Unternehmens zu verbessern”, fügte Bar-Dayan hinzu.
“Cloud-Sicherheit kann nicht länger das Problem eines anderen sein, und es reicht nicht aus, sich zu fragen, ob die Cloud-Infrastruktur allein sicher ist. Wir müssen dasselbe bei unseren Anwendungen, traditionellen Infrastrukturen und Netzwerken fragen.”
Kohlenfeuer-Management Direktor Andrew Barratt stellte fest, dass Orchestrierungsplattformen aufgrund ihrer Einsatzmöglichkeiten eine interessante Angriffsfläche darstellen.
Barratt sagte, sie könnten einem Gegner erlauben, sehr ausgeklügelte seitliche Angriffe durchzuführen, die die Größe nativer Cloud-Dienste vollständig ausnutzen. Obwohl er nicht gegen deren Verwendung ist, sagte er, es sei jetzt wichtig, dass sie als ausgeklügelte Angriffsplattform mit vielen Funktionen und in der Regel erhöhten Rechten sowie der Fähigkeit zum Aufbau und Einsatz von Ressourcen mit unmittelbaren Kosten angesehen werden.
“Diese Sicherheitslücken gibt es schon lange und Sicherheitsteams sind sich ihrer bereits zu einem gewissen Grad bewusst, unabhängig von der Plattform – sei es Virtualisierung, physische Rechenzentren oder die öffentliche Cloud und die vielen verschiedenen Dienste Angebote”, sagte Michael Cade, Senior Global Technologist bei Kasten.
“Dies wird nicht die einzige Schwachstelle sein, die in Kubernetes-Umgebungen oder breiteren Betriebssystemen gefunden wird.”
Sicherheit
Kaseya Ransomware-Angriff: Was Sie wissen müssen Surfshark VPN Kritik: Es ist billig, aber ist es gut? Die besten Browser für den Datenschutz Cybersicherheit 101: Schützen Sie Ihre Privatsphäre Die besten Antiviren-Software und -Apps Die besten VPNs für Unternehmen und Privat Die besten Sicherheitsschlüssel für 2FA Wie Opfer, die das Lösegeld zahlen, weitere Angriffe fördern (ZDNet YouTube)
Verwandte Themen :
Sicherheit Digitale Transformation Rechenzentren CXO Innovation Storage 