大量Kubernetes集群容易受到配置错误的ArgoWorkflows实例的攻击,安全研究人员警告说。ArgoWorkflows是一个开源的容器原生工作流引擎,主要用于协调Kubernetes上的并行工作,以加速机器学习和大数据处理等计算密集型工作的处理。它还用于简化一般容器部署。同时,Kubernetes也是一个流行的容器编排引擎,可以用来管理云部署。根据Intezer的分析,恶意软件操作者可以通过Argo将加密软件放入云容器中,因为某些实例允许用户通过仪表板访问它而无需对外部用户进行身份验证。因此,这些错误配置的权限可以让攻击者在受害者的环境中运行攻击性代码。根据Intezer周二发布的分析,在许多情况下,默认配置权限允许任何用户部署工作流。由于权限配置错误,攻击者有可能获得对打开的Argo仪表板的访问权限并执行他们的网络攻击。研究人员表示,错误配置还可能暴露敏感信息,例如代码、凭据和私有容器映像的名称(可用于协助其他类型的攻击)。Intezer扫描网络发现大量未受保护的实例,这些实例由包括科技、金融和物流行业在内的多家公司运营。Intezer说:“到目前为止,我们已经确定了受感染的节点。由于涉及数百个错误部署的容器,未来可能会发生更大的攻击。在一个案例中,恶意代码暴露在DockerHub上。花了九个月的时间才在被发现之前在我们的集群上运行。”这次袭击并不难实施。研究人员观察到许多流行的恶意软件,包括Kannix和XMRig,被投放到DockerHub等存储库的容器中。网络犯罪分子只需通过Argo或其他方式将其中一个容器拉入Kubernetes即可。攻击。例如,微软最近调查了许多矿工通过运行机器学习工作流的Kubeflow框架攻击Kubernetes的案例。“在DockerHub中,攻击者仍然可以使用许多Monero选项。我们的简单搜索揭示了至少45个具有数百万下载量的容器,”研究人员说。如何检查Argo配置错误研究人员指出,查看权限配置是否正确的最简单方法是尝试从公司环境外部使用未经身份验证的隐身浏览器访问Argo工作流仪表板。研究人员补充说,一种更技术性的检查方法是访问实例的API并检查状态代码。分析发现,作为未授权用户,向[your.instance:port]/api/v1/info发送HTTPGET请求,返回HTTP状态码为'401Unauthorized',说明实例配置正确,如果返回成功状态代码“200SUCCESS”,则表示未经授权的用户能够访问该实例。Intezer指出,管理员还可以检查日志和工作流时间线中是否存在任何可疑活动,任何运行时间过长的工作流都可能表明存在攻击。“即使您的集群部署在AmazonWebServices(AWS)、EKS或AzureKubernetesService(AKS)等云Kubernetes服务上,共享责任模型也规定云客户应对他们部署的应用程序负责,”研究人员指出。所有必要的安全配置”。云中的错误配置为网络攻击提供了一个载体错误配置仍然困扰着云计算空间和各种组织。去年秋天的一项分析发现,6%的谷歌云图像配置错误并向公众开放互联网,允许任何人访问他们的内容。有时这些失误会成为头条新闻。3月,HobbyLobby被披露在一个向公众开放的云存储桶中放置了138GB的??敏感信息。这些信息包括客户姓名、一些支付卡详细信息、电话号码、物理地址和电子邮件地址。根据云原生计算基金会(CNCF)2020年的一项调查,91%的受访者正在使用Kubernetes,受访者表示使用和部署容器的最大困难是部署复杂性和安全性。Intezer研究人员指出:“Kubernetes……是GitHub上最受欢迎的存储库之一,有超过100,000次提交和超过3000名贡献者,每年使用Kubernetes的企业数量和部署的集群数量都在稳步增长。由于企业在使用容器和Kubernetes集群时面临的安全挑战,攻击者很可能会利用容器安全中的漏洞进行大规模攻击。”本文翻译自:https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/如有转载请注明出处。
