研究人员发现了超过380,000个允许访问公共互联网的KubernetesAPI服务器,使得用于管理云部署的流行开源容器成为威胁参与者的目标一个攻击目标和广泛的攻击面。根据本周发布的一篇博文,Shadowserver基金会在互联网上扫描KubernetesAPI服务器时发现了这个问题,该问题已经影响了超过450,000台服务器。根据该帖子,ShadowServer每天扫描端口443和6443上的IPv4空间,寻找以“HTTP200OK状态”响应的IP地址,这表明请求成功。研究人员表示,在Shadowserver发现的超过450,000个KubernetesAPI实例中,有381,645个响应“200OK”。Shadowserver总共发现了454,729个KubernetesAPI服务器。结果,开放API实例占Shadowserver扫描的所有实例的近84%。此外,根据该帖子,最容易访问的Kubernetes服务器为201,348台,其中近53%位于美国。根据该帖子,虽然此扫描结果并不意味着这些服务器完全开放或易受攻击,但确实存在这些服务器具有“不必要地暴露的攻击面”的情况。研究人员指出,这种访问很可能是无意的。他们补充说,这种暴露还可能导致各种版本和构建信息的泄漏。云基础设施受到攻击鉴于攻击者已经越来越多地瞄准Kubernetes云集群并利用它们对云服务发起其他攻击,这些发现非常令人不安。事实上,云服务设施因配置错误而遭受过各种损失。当然,Kubernetes也不例外。事实上,数据安全公司ComforteAG的网络安全专家在给CNBC的一封电子邮件中表示,他对Shadowserver扫描发现如此多的Kubernetes服务器暴露在公共互联网上并不感到惊讶。他表示,Kubernetes为企业的敏捷应用交付提供了高度便利,其诸多特性使其成为攻击和利用的理想目标。例如,由于应用程序内部会运行很多容器,Kubernetes的攻击面会很大,如果不能保证安全,就会被攻击者利用。这些问题的出现也回避了一个长期存在的问题,即如何确保作为现代互联网和云基础设施的一部分开始变得无处不在的开源系统的安全,使得对它们的攻击成为对所有系统的攻击他们连接到。去年12月,无处不在的Java日志库ApacheLog4j中的Log4Shell漏洞引起了人们的注意。该漏洞很容易被利用,允许攻击者进行未经授权的远程代码执行(RCE)攻击并完全接管服务器。事实上,最近的一份报告发现,尽管Log4Shell发布了补丁,但数百万Java应用程序仍然容易受到重大漏洞的攻击。Shadabi说,Kubernetes的致命弱点之一是该平台的内置数据安全功能只能最低限度地保护静态数据。在云环境中,这是一种非常危险的情况。而且,数据本身也没有持续的保护,比如没有使用一些行业认可的技术,比如字段级标记化。因此,如果一个生态系统遭到破坏,它处理的敏感数据迟早会受到更隐蔽的攻击。Shadabi对在生产中使用容器和Kubernetes的组织的建议是,像对待IT基础设施一样认真和全面地对待Kubernetes安全。Shadowserver建议,如果管理员发现他们环境中的Kubernetes实例可以访问互联网,他们应该考虑采取访问授权或在防火墙级别进行阻止,以减少暴露的攻击面。本文翻译自:https://threatpost.com/380k-kubernetes-api-servers-exposed-to-public-internet/179679/如有转载请注明出处。
