Analytikere med cybersecurity-selskapet Intezer har funnet ut at nettkriminelle nå går etter en ny angrepsvektor mot Kubernetes-klynger via feilkonfigurerte Argo Workflows-forekomster.
Intezer sikkerhetsforskere Ryan Robinson og Nicole Fishbein skrev en rapport som beskriver angrepet, og bemerket at de allerede har funnet infiserte noder. De to sa at angrepene gjaldt fordi det er hundrevis av feilkonfigurerte distribusjoner, og angripere har blitt oppdaget som slipper kryptominnearbeidere som Kannix/Monero-miner gjennom denne angrepsvektoren.
“Vi har oppdaget eksponerte forekomster av Argo arbeidsflyter som tilhører selskaper fra forskjellige sektorer, inkludert teknologi, økonomi og logistikk. Argo arbeidsflyter er en åpen kildekode, container innfødt arbeidsflytmotor designet for å kjøre på K8s klynger. Argo arbeidsflyter forekomster med feilkonfigurerte tillatelser tillater truer aktører med å kjøre uautorisert kode på offerets miljø, “sa Robinson og Fishbein.
“Eksponerte forekomster kan inneholde sensitiv informasjon som kode, legitimasjon og navn på private containerbilder. Vi oppdaget også at det i mange tilfeller er konfigurert tillatelser som tillater enhver besøkende bruker å distribuere arbeidsflyter. Vi oppdaget også at trusselaktører målretter mot noen feilkonfigurerte noder. . “
Noen nettangripere har kunnet dra nytte av feilkonfigurerte tillatelser som gir dem tilgang til et åpent Argo-dashbord der de kan sende inn sin egen arbeidsflyt.
” Kannix/Monero-miner, ifølge forskerne, krever lite dyktighet å bruke, og rapporten bemerker at andre sikkerhetsteam har oppdaget store gruvedriftangrep på kryptovaluta mot Kubernetes-klynger.
“I Docker Hub er det fremdeles en rekke alternativer for Monero-gruvedrift som angripere kan bruke. Et enkelt søk viser at det er minst 45 andre containere med millioner av nedlastinger,” sa studien.
Fishbein og Robinson oppfordrer brukere til å få tilgang til Argo Workflows-dashbordet fra en uautentisert inkognito-nettleser utenfor bedriftsmiljøer som en måte å kontrollere om forekomster er feilkonfigurert.
Administratorer kan også spørre API for en forekomst og sjekke statuskoden.
må lese
Hva er Kubernetes? Hvordan orkestrering omdefinerer datasenteret
Om litt over fire år har prosjektet som ble født fra Googles interne containeradministrasjonsarbeid opprettholdt de best planlagte planene til VMware, Microsoft, Oracle, og alle andre ville være konge i datasenteret.
Les mer
Yaniv Bar-Dayan, administrerende direktør i Vulcan Cyber, forklarte at kompleksiteten og skala som er innebygd for cloud-distribusjoner, betyr at det vil være brudd på grunn av menneskelige feil.
“Feilkonfigurasjon er bare en type risikoinduserende sårbarhet, og sky er bare en angrepsvektor som må spores og reduseres. Hvis sikkerhetsteamene kan forstå og prioritere risikoen skapt av feilkonfigurasjoner i skyen sammen med IT-infrastruktur og applikasjonssårbarheter, har de et skudd å redusere risiko og forbedre sikkerhetsstillingen til virksomheten, la Bar-Dayan til.
“Skysikkerhet kan ikke lenger være andres problem, og det er ikke nok å spørre om skyinfrastruktur i seg selv er sikker. Vi må spørre det samme om våre applikasjoner, tradisjonell infrastruktur og nettverk.”
Administrasjon av Coalfire rektor Andrew Barratt bemerket at orkestrasjonsplattformer er en interessant angrepsflate på grunn av deres evne til å utføre.
Barratt sa at de kunne tillate en motstander å utføre svært sofistikerte laterale angrep som helt utnytter omfanget av innfødte skytjenester. Selv om han ikke er imot å bruke dem, sa han at det nå er viktig for dem å bli sett på som en sofistikert angrepsplattform med mange muligheter og vanligvis forhøyede privilegier og muligheten til å bygge og distribuere ressurser med umiddelbare kostnader forbundet.
“Disse sårbarhetene har eksistert i lang tid, og sikkerhetsteam er allerede klar over dem til en viss grad, uavhengig av plattform – det være seg virtualisering, fysiske datasentre eller den offentlige skyen og de mange forskjellige tjenestetilbud, “sa Michael Cade, en senior global teknolog med Kasten.
“Dette kommer ikke til å være det eneste sårbarheten som finnes i Kubernetes-miljøer eller bredere operativsystemer.”
Sikkerhet
Kaseya-ransomware-angrep: Det du trenger å vite Surfshark VPN anmeldelse: Det er billig, men er det bra? De beste nettleserne for personvern Cybersikkerhet 101: Beskytt personvernet ditt De beste antivirusprogramvarene og appene De beste VPN-ene for forretnings- og hjemmebruk De beste sikkerhetsnøklene for 2FA Hvordan ofre som betaler løsepenger oppfordrer til flere angrep (ZDNet YouTube)
Relaterte emner :
Sikkerhet Digital Transformation Data Centers CXO Innovation Storage 