Analytikere med cybersikkerhedsfirmaet Intezer har fundet ud af, at cyberkriminelle nu går efter en ny angrebsvektor mod Kubernetes-klynger via forkert konfigurerede Argo Workflows-forekomster.
Intezer sikkerhedsforskere Ryan Robinson og Nicole Fishbein skrev en rapport, der detaljerede angrebet, idet de bemærkede, at de allerede har fundet inficerede noder. De to sagde, at angrebene vedrørte, fordi der er hundreder af forkert konfigurerede implementeringer, og angribere er blevet opdaget, der slipper kryptominere som kannix/monero-miner gennem denne angrebsvektor.
“Vi har registreret udsatte forekomster af Argo Workflows, der tilhører virksomheder fra forskellige sektorer, herunder teknologi, økonomi og logistik. Argo Workflows er en open source, container-native workflow-motor designet til at køre på K8s-klynger. Argo Workflows-forekomster med forkert konfigurerede tilladelser tillader truer aktører med at køre uautoriseret kode på ofrets miljø, ”sagde Robinson og Fishbein.
“Eksponerede forekomster kan indeholde følsomme oplysninger, såsom kode, legitimationsoplysninger og private containerbillednavne. Vi opdagede også, at der i mange tilfælde er konfigureret tilladelser, der gør det muligt for enhver besøgende at anvende arbejdsgange. Vi opdagede også, at nogle miskonfigurerede noder er målrettet mod trussel aktører. “
Nogle cyberattackers har været i stand til at udnytte miskonfigurerede tilladelser, der giver dem adgang til et åbent Argo-dashboard, hvor de kan indsende deres egen arbejdsgang.
” Kannix/monero -miner, “ifølge forskerne, kræver ringe færdigheder at bruge, og rapporten bemærker, at andre sikkerhedsteam har opdaget storstilet kryptovaluta-mineangreb mod Kubernetes-klynger.
“I Docker Hub er der stadig en række muligheder for Monero-minedrift, som angribere kan bruge. Med en simpel søgning viser det, at der er mindst 45 andre containere med millioner af downloads,” sagde undersøgelsen.
Fishbein og Robinson opfordrer brugerne til at få adgang til Argo Workflows-instrumentbrættet fra en ikke-godkendt inkognitobrowser uden for virksomhedsmiljøer som en måde at kontrollere, om forekomster er forkert konfigureret.
Administratorer kan også forespørge API'et for en forekomst og kontrollere statuskoden.
skal læses
Hvad er Kubernetes? Hvordan orkestrering omdefinerer datacentret
Om lidt over fire år har projektet, der er født fra Googles interne containerhåndteringsindsats, opretholdt de bedst planlagte planer fra VMware, Microsoft, Oracle og enhver anden konge af dataene center.
Læs mere
Yaniv Bar-Dayan, administrerende direktør for Vulcan Cyber, forklarede, at kompleksiteten og omfanget, der er forbundet med enterprise cloud-implementeringer, betyder, at der være overtrædelser på grund af menneskelige fejl.
“Fejlkonfiguration er kun en type risikoinducerende sårbarhed, og sky er kun en angrebsvektor, der skal spores og afbødes. Hvis sikkerhedsteam kan forstå og prioritere risiko skabt af cloud-miskonfigurationer sammen med IT-infrastruktur og applikationssårbarheder, har de et skud på reducere risiko og forbedre sikkerhedssituationen i virksomheden, ”tilføjede Bar-Dayan.
“Cloudsikkerhed kan ikke længere være en andens problem, og det er ikke nok at spørge, om cloudinfrastruktur i sig selv er sikker. Vi skal spørge det samme om vores applikationer, traditionel infrastruktur og netværk.”
Coalfire-administration rektor Andrew Barratt bemærkede, at orkestrationsplatforme er en interessant angrebsflade på grund af, hvad de kan udnyttes til at udføre.
Barratt sagde, at de kunne tillade en modstander at udføre meget sofistikerede laterale angreb, der helt udnytter omfanget af native cloud-tjenester. Selvom han ikke er imod at bruge dem, sagde han, at det nu er vigtigt for dem at blive betragtet som en sofistikeret angrebsplatform med mange kapaciteter og typisk forhøjede privilegier samt evnen til at opbygge og implementere ressourcer med en øjeblikkelig omkostning forbundet.
“Disse sårbarheder har eksisteret i lang tid, og sikkerhedsteams er allerede opmærksomme på dem til en vis grad, uanset platform – det være sig virtualisering, fysiske datacentre eller den offentlige sky og de mange forskellige tjenester tilbud, “sagde Michael Cade, senior global teknolog med Kasten.
“Dette bliver ikke den eneste sårbarhed, der findes i Kubernetes-miljøer eller bredere operativsystemer.”
Sikkerhed
Kaseya-ransomware-angreb: Hvad du har brug for at vide Surfshark VPN anmeldelse: Det er billigt, men er det godt? De bedste browsere til privatlivets fred Cybersikkerhed 101: Beskyt dit privatliv De bedste antivirussoftware og apps De bedste VPN'er til erhverv og hjemmebrug De bedste sikkerhedsnøgler til 2FA Hvordan ofre, der betaler løsesummen, tilskynder til flere angreb (ZDNet YouTube)
Relaterede emner :
Sikkerhed Digital Transformation Data Centers CXO Innovation Storage 