Gli analisti della società di sicurezza informatica Intezer hanno scoperto che i criminali informatici ora stanno cercando un nuovo vettore di attacco contro i cluster Kubernetes tramite istanze Argo Workflows configurate in modo errato.
I ricercatori di sicurezza di Intezer Ryan Robinson e Nicole Fishbein hanno scritto un rapporto che descrive in dettaglio l'attacco, notando che hanno già trovato nodi infetti. I due hanno affermato che gli attacchi erano preoccupanti perché ci sono centinaia di implementazioni errate e sono stati rilevati aggressori che rilasciano crypto-miner come il Kannix/Monero-miner attraverso questo vettore di attacco.
“Abbiamo rilevato istanze esposte di Argo Workflows che appartengono ad aziende di diversi settori, tra cui tecnologia, finanza e logistica. Argo Workflows è un motore di flusso di lavoro open source e nativo per container progettato per essere eseguito su cluster K8. Le istanze Argo Workflows con autorizzazioni errate consentono gli attori delle minacce per eseguire codice non autorizzato sull'ambiente della vittima”, hanno detto Robinson e Fishbein.
“Le istanze esposte possono contenere informazioni sensibili come codice, credenziali e nomi di immagini di contenitori privati. Abbiamo anche scoperto che in molti casi le autorizzazioni sono configurate, che consentono a qualsiasi utente in visita di distribuire flussi di lavoro. Abbiamo anche rilevato che gli attori delle minacce prendono di mira alcuni nodi configurati in modo errato .”
Alcuni cyber-attaccanti sono stati in grado di sfruttare permessi configurati in modo errato che danno loro accesso a una dashboard aperta di Argo dove possono inviare il proprio flusso di lavoro.
Il “Kannix/Monero-miner”, secondo i ricercatori, richiede poche abilità da utilizzare e il rapporto rileva che altri team di sicurezza hanno scoperto attacchi di mining di criptovaluta su larga scala contro i cluster Kubernetes.
“In Docker Hub, ci sono ancora una serie di opzioni per il mining di Monero che gli aggressori possono utilizzare. Una semplice ricerca mostra che ci sono almeno altri 45 container con milioni di download”, afferma lo studio.
Fishbein e Robinson invitano gli utenti ad accedere alla dashboard di Argo Workflows da un browser in incognito non autenticato al di fuori degli ambienti aziendali per verificare se le istanze sono configurate in modo errato.
Gli amministratori possono anche interrogare l'API di un'istanza e controllare il codice di stato.
deve leggere
Cos'è Kubernetes? Come l'orchestrazione ridefinisce il data center
In poco più di quattro anni, il progetto nato dagli sforzi di gestione dei container interni di Google ha stravolto i piani più articolati di VMware, Microsoft, Oracle, e ogni altro aspirante re del data center.
Leggi di più
Yaniv Bar-Dayan, CEO di Vulcan Cyber, ha spiegato che la complessità e scala inerente alle implementazioni cloud aziendali significa che ci saranno violazioni dovute a errori umani.
“L'errata configurazione è solo un tipo di vulnerabilità che induce al rischio e il cloud è solo un vettore di attacco che deve essere monitorato e mitigato. Se i team di sicurezza possono comprendere e assegnare priorità al rischio creato da errori di configurazione del cloud insieme alle vulnerabilità dell'infrastruttura IT e delle applicazioni, hanno una possibilità a ridurre i rischi e migliorare la posizione di sicurezza del business”, ha aggiunto Bar-Dayan.
“La sicurezza del cloud non può più essere un problema di qualcun altro e non è sufficiente chiedersi se l'infrastruttura cloud di per sé è sicura. Dobbiamo chiederci lo stesso delle nostre applicazioni, dell'infrastruttura e delle reti tradizionali.”
Gestione di Coalfire Il preside Andrew Barratt ha notato che le piattaforme di orchestrazione sono una superficie di attacco interessante grazie alla loro capacità di eseguire.
Barratt ha affermato che potrebbero consentire a un avversario di eseguire attacchi laterali molto sofisticati sfruttando interamente la scala dei servizi cloud nativi. Sebbene non sia contrario al loro utilizzo, ha affermato che ora è importante che vengano visti come una piattaforma di attacco sofisticata con molte funzionalità e privilegi tipicamente elevati e la capacità di creare e distribuire risorse con un costo immediato associato.
“Queste vulnerabilità esistono da molto tempo e i team di sicurezza ne sono già a conoscenza in una certa misura, indipendentemente dalla piattaforma, che si tratti di virtualizzazione, data center fisici o cloud pubblico e le molte diverse offerte di servizi”, ha affermato Michael Cade, un tecnologo globale senior di Kasten.
“Questa non sarà l'unica vulnerabilità riscontrata negli ambienti Kubernetes o nei sistemi operativi più ampi.”
Sicurezza
Attacco ransomware Kaseya: cosa devi sapere VPN Surfshark recensione: È economico, ma è buono? I migliori browser per la privacy Sicurezza informatica 101: proteggi la tua privacy I migliori software e app antivirus Le migliori VPN per uso aziendale e domestico Le migliori chiavi di sicurezza per 2FA Come le vittime che pagano il riscatto incoraggiano più attacchi (ZDNet YouTube)
Argomenti correlati :
Sicurezza Trasformazione digitale Data Center CXO Innovation Storage 