Analisten van cyberbeveiligingsbedrijf Intezer hebben ontdekt dat cybercriminelen nu achter een nieuwe aanvalsvector aangaan tegen Kubernetes-clusters via verkeerd geconfigureerde Argo Workflows-instanties.
Intezer-beveiligingsonderzoekers Ryan Robinson en Nicole Fishbein schreven een rapport met details over de aanval en merkten op dat ze al geïnfecteerde knooppunten hebben gevonden. De twee zeiden dat de aanvallen zorgwekkend waren omdat er honderden verkeerd geconfigureerde implementaties zijn en dat er aanvallers zijn gedetecteerd die crypto-miners zoals de Kannix/Monero-miner via deze aanvalsvector laten vallen.
“We hebben blootgestelde instanties van Argo Workflows gedetecteerd die toebehoren aan bedrijven uit verschillende sectoren, waaronder technologie, financiën en logistiek. Argo Workflows is een open-source, containereigen workflow-engine die is ontworpen om op K8s-clusters te draaien. Argo Workflows-instanties met verkeerd geconfigureerde machtigingen maken het mogelijk bedreigingsactoren om ongeautoriseerde code uit te voeren in de omgeving van het slachtoffer”, aldus Robinson en Fishbein.
“Blootgestelde instanties kunnen gevoelige informatie bevatten, zoals code, inloggegevens en namen van privécontainerafbeeldingen. We ontdekten ook dat in veel gevallen machtigingen zijn geconfigureerd, waardoor elke bezoekende gebruiker workflows kan implementeren. We hebben ook gedetecteerd dat bedreigingsactoren zich richten op een aantal verkeerd geconfigureerde knooppunten .”
Sommige cyberaanvallers hebben kunnen profiteren van verkeerd geconfigureerde machtigingen die hen toegang geven tot een open Argo-dashboard waar ze hun eigen workflow kunnen indienen.
De “Kannix/Monero-miner”, aldus de onderzoekers, vereist weinig vaardigheid om te gebruiken, en het rapport merkt op dat andere beveiligingsteams grootschalige cryptocurrency-miningaanvallen tegen Kubernetes-clusters hebben ontdekt.
“In Docker Hub zijn er nog een aantal opties voor Monero-mining die aanvallers kunnen gebruiken. Een simpele zoekopdracht toont aan dat er nog minstens 45 andere containers zijn met miljoenen downloads”, aldus het onderzoek.
Fishbein en Robinson dringen er bij gebruikers op aan om het Argo Workflows-dashboard te openen vanuit een niet-geverifieerde incognitobrowser buiten de bedrijfsomgevingen om te controleren of instanties verkeerd zijn geconfigureerd.
Beheerders kunnen ook de API van een instantie opvragen en de statuscode controleren.
moet lezen
Wat is Kubernetes? Hoe orkestratie het datacenter herdefinieert
In iets meer dan vier jaar tijd heeft het project dat voortkwam uit de interne inspanningen van Google op het gebied van containerbeheer de best opgestelde plannen van VMware, Microsoft, Oracle, en elke andere potentiële koning van het datacenter.
Lees meer
Yaniv Bar-Dayan, CEO van Vulcan Cyber, legde uit dat de complexiteit en schaal die inherent is aan enterprise cloud-implementaties betekent dat er inbreuken zullen zijn als gevolg van menselijke fouten.
“Een verkeerde configuratie is slechts één type van risico-inducerende kwetsbaarheid, en de cloud is slechts één aanvalsvector die moet worden gevolgd en beperkt. Als beveiligingsteams de risico's die worden veroorzaakt door misconfiguraties in de cloud naast de kwetsbaarheden van de IT-infrastructuur en applicaties, kunnen begrijpen en prioriteren, hebben ze een kans bij het verminderen van risico's en het verbeteren van de beveiligingshouding van bedrijven”, voegde Bar-Dayan eraan toe.
“Cloudbeveiliging kan niet langer het probleem van iemand anders zijn, en het is niet voldoende om te vragen of de cloudinfrastructuur op zichzelf veilig is. We moeten hetzelfde vragen over onze applicaties, traditionele infrastructuur en netwerken.”
Coalfire-beheer directeur Andrew Barratt merkte op dat orkestratieplatforms een interessant aanvalsoppervlak zijn vanwege hun vermogen om te presteren.
Barratt zei dat ze een tegenstander in staat zouden kunnen stellen om zeer geavanceerde laterale aanvallen uit te voeren, waarbij volledig gebruik wordt gemaakt van de schaal van native cloudservices. Hoewel hij niet tegen het gebruik ervan is, zei hij dat het nu belangrijk is dat ze worden gezien als een geavanceerd aanvalsplatform met veel mogelijkheden en doorgaans verhoogde privileges en de mogelijkheid om bronnen te bouwen en in te zetten met onmiddellijke kosten.
“Deze kwetsbaarheden bestaan al heel lang en beveiligingsteams zijn zich er al tot op zekere hoogte van bewust, ongeacht het platform – of het nu gaat om virtualisatie, fysieke datacenters of de openbare cloud en de vele verschillende serviceaanbod”, zegt Michael Cade, een senior global technoloog bij Kasten.
“Dit zal niet de enige kwetsbaarheid zijn die wordt gevonden in Kubernetes-omgevingen of bredere besturingssystemen.”
Beveiliging
Kaseya ransomware-aanval: wat u moet weten Surfshark VPN review: Het is goedkoop, maar is het ook goed? De beste browsers voor privacy Cyberbeveiliging 101: bescherm uw privacy De beste antivirussoftware en apps De beste VPN's voor zakelijk en thuisgebruik De beste beveiligingssleutels voor 2FA Hoe slachtoffers die het losgeld betalen meer aanvallen aanmoedigen (ZDNet YouTube)
Verwante onderwerpen :
Beveiliging Digitale transformatie Datacenters CXO Innovatie Opslag 