Analytiker med cybersäkerhetsföretaget Intezer har funnit att cyberbrottslingar nu går efter en ny attackvektor mot Kubernetes-kluster via felkonfigurerade Argo Workflows-förekomster.Intezer säkerhetsforskare Ryan Robinson och Nicole Fishbein skrev en rapport som beskriver attacken och noterade att de redan har hittat infekterade noder. De två sa att attackerna gällde eftersom det finns hundratals felkonfigurerade utplaceringar och angripare har upptäckts som tappar kryptominerare som kannix/monero-gruvarbetaren genom denna attackvektor.
“Vi har upptäckt exponerade förekomster av Argo arbetsflöden som tillhör företag från olika sektorer inklusive teknik, ekonomi och logistik. Argo arbetsflöden är en öppen källkod, container-native arbetsflödesmotor som är utformad för att köras på K8s-kluster. Argo arbetsflöden med felkonfigurerade behörigheter tillåter hotar aktörer att köra obehörig kod på offrets miljö, säger Robinson och Fishbein.
“Exponerade instanser kan innehålla känslig information som kod, referenser och privata containeravbildningsnamn. Vi upptäckte också att i många fall konfigureras behörigheter som gör det möjligt för alla besökande användare att distribuera arbetsflöden. Vi upptäckte också att vissa felkonfigurerade noder är inriktade på hot aktörer. “
Vissa cyberattacker har kunnat dra nytta av felkonfigurerade behörigheter som ger dem tillgång till en öppen Argo-instrumentpanel där de kan skicka in sitt eget arbetsflöde.
” Kannix/monero -miner, “enligt forskarna, kräver lite skicklighet för att använda och rapporten noterar att andra säkerhetslag har upptäckt storskalig gruvdriftangrepp mot Kubernetes-kluster.
“I Docker Hub finns det fortfarande ett antal alternativ för Monero-gruvdrift som angripare kan använda. Med en enkel sökning visar det att det finns minst 45 andra containrar med miljontals nedladdningar”, säger studien.
Fishbein och Robinson uppmanar användare att komma åt Argo Workflows-instrumentpanelen från en obehörig inkognitobläsare utanför företagsmiljöer som ett sätt att kontrollera om instanser är felkonfigurerade.
Administratörer kan också fråga en instans API och kontrollera statuskoden.
måste läsas
Vad är Kubernetes? Hur orkestrering omdefinierar datacentret
På drygt fyra år har projektet som föddes av Googles interna containerhanteringsinsatser uppnått de bäst upplagda planerna för VMware, Microsoft, Oracle och alla andra potentiella kungar av data center.
Läs mer
Yaniv Bar-Dayan, VD för Vulcan Cyber, förklarade att komplexiteten och skalan som ligger i företagets molndistribution innebär att det kommer vara överträdelser på grund av mänskliga fel.
“Misskonfiguration är bara en typ av riskframkallande sårbarhet, och moln är bara en attackvektor som behöver spåras och mildras. Om säkerhetsteam kan förstå och prioritera risker som skapas av felkonfigurationer i molnet vid sidan av IT-infrastruktur och applikationssårbarheter har de ett skott på minskar risken och förbättrar säkerheten i verksamheten, tillade Bar-Dayan.
“Molnsäkerhet kan inte längre vara någon annans problem, och det räcker inte att fråga om molninfrastruktur i sig är säker. Vi måste fråga samma sak om våra applikationer, traditionell infrastruktur och nätverk.”
Coalfire-hantering rektor Andrew Barratt noterade att orkestrationsplattformar är en intressant attackyta på grund av vad de kan utnyttjas för att utföra.
Barratt sa att de kunde tillåta en motståndare att utföra mycket sofistikerade laterala attacker som helt utnyttjar omfattningen av infödda molntjänster. Medan han inte är emot att använda dem sa han att det nu är viktigt för dem att ses som en sofistikerad attackplattform med många funktioner och vanligtvis förhöjda privilegier samt förmågan att bygga och distribuera resurser med en omedelbar kostnad associerad.
“Dessa sårbarheter har funnits länge och säkerhetsteam är redan medvetna om dem till viss del, oavsett plattform – vare sig det är virtualisering, fysiska datacenter eller det offentliga molnet och de många olika tjänsterna erbjudanden “, säger Michael Cade, senior global teknolog med Kasten.
“Detta kommer inte att vara den enda sårbarheten som finns i Kubernetes-miljöer eller bredare operativsystem.”
Säkerhet
Kaseya-ransomware-attack: Vad du behöver veta Surfshark VPN recension: Det är billigt, men är det bra? De bästa webbläsarna för sekretess Cybersäkerhet 101: Skydda din integritet De bästa antivirusprogrammen och apparna De bästa VPN-tjänsterna för företag och hemanvändning De bästa säkerhetsnycklarna för 2FA Hur offer som betalar lösen uppmuntrar fler attacker (ZDNet YouTube)
Relaterade ämnen :
Säkerhet Digitala transformationsdatacenter CXO Innovation Storage 