本文转载自雷锋网。AzureKubernetes又被盗了!6月10日,微软Azure安全中心(ASC)正式发布警告称,黑客正在Kubernetes集群中的机器学习工具包Kubeflow上安装加密货币矿工,试图利用CPU资源挖取门罗币虚拟货币XMRIG。恶意“挖矿”行动始于4月,已经污染了数十个Kubernetes集群。ASC调查发现,黑客攻击Kubeflow是因为用户更改了默认设置。针对机器学习框架Kubeflow4月初,当ASK在监控和防御AKS上运行的数千个Kubernetes集群时,发现许多不同的集群在公共存储库中部署了可疑图像。经过监控分析,发现这些可疑镜像运行的是XMRIG矿机。从图像运行的各种集群来看,其中大部分都在运行Kubeflow。这一事实表明,这种恶意攻击的访问途径正是机器学习框架Kubeflow。Kubernetes是一个开源的容器编排引擎,支持自动化部署、大规模扩展和应用程序容器管理。在生产环境中部署应用程序时,通常会部署应用程序的多个实例来负载平衡应用程序请求。Kubernetes中可以创建多个容器,每个容器运行一个应用实例,然后通过内置的负载均衡策略,实现对这组应用实例的管理、发现和访问。Kubeflow就是这样一种用于机器学习任务的运行实例。随着Kubernetes越来越强大,它的攻击案例也越来越多。然而,这是针对Kubeflow的第一次攻击。“由于用于ML任务的节点往往相对强大,有时甚至包括GPU,因此它们是加密矿工的有吸引力的目标,”ASC安全研究软件工程师YossiWeizman补充道。另外,Kubeflow是容器化服务,各种任务在集群中以容器的形式运行。因此,如果攻击者以某种方式获得了对Kubeflow的访问权限,他们可以通过多种方式在集群中运行他们的恶意镜像。但是在默认配置下,外部对Kubeflow的攻击是很难得逞的。攻击默认设置漏洞Kubeflow功能可通过连接到仪表板的API服务器使用,用户可以使用该仪表板来管理他们的任务。而仪表板只能通过位于集群边缘的Istio入口网关使用。这对于Kubeflow来说是一个非常安全的墙。但是,有些用户会更改此默认设置,将Istio服务修改为Load-Balancer以方便访问。这避免了通过网关直接访问仪表板,但同时也将仪表板直接暴露在互联网上,任何人都可以直接访问并更改Kubeflow功能。Kubeflow功能仪表板此外,如果攻击者可以访问仪表板,他们也可以通过多种方式在集群中部署新容器。以下是两种常见的方式:访问Kubeflow的用户可以创建Jupyter笔记本服务器并为笔记本服务器选择镜像,包括自定义镜像。该图像不必是合法的,因此攻击者可以使用此功能来运行他们自己的图像。从Jupyternotebooks部署恶意容器:攻击者可以使用新的或现有的notebooks来运行他们的Python代码。代码从笔记本服务器运行,笔记本服务器本身是一个安装了服务帐户的容器。此服务帐户(默认配置)有权在其命名空间中部署容器。因此,攻击者可以使用它在集群中部署新的容器。ASC研究员YossiWeizman表示:在这次事件中,黑客使用暴露的Kubeflow工具获得了对Kubernetes集群的初始访问权限。集群中的执行和持久化由部署在集群中的容器执行。攻击者设法使用已安装的服务帐户横向移动和部署容器。最后,攻击者通过运行加密货币矿工对集群产生影响。如果用户想调查自己的集群是否有被攻击的Kubeflow实例,Weizman提供了以下步骤:确认集群中没有部署恶意容器,可以通过以下命令检查:kubectlgetpods–all-namespaces-ojsonpath="{.items[*].spec.containers[*].image}"|grep-iddsfdfsaadfs如果你在集群中部署Kubeflow,你需要确保它的dashboard没有暴露在Internet中:使用以下命令检查Istioingress服务类型,确保它不是具有公共IP的负载均衡器:kubectlgetserviceistio-ingressgateway-nistio-system容器化技术被攻击惨了。对于更改默认配置导致的黑客攻击,有用户抱怨,“云服务器的安全需要专业人员定期维护管理,所以我不会在工作中使用云服务器”。事实上,云服务器的安全性一直存在争议。除了Kubernetes,Docker应用容器引擎也是黑客经常攻击的目标。去年10月,大约2000台不安全的Docker引擎主机被名为Graboid的蠕虫劫持。除此之外,使用Kinsing恶意软件开采比特币的活动正在迅速蔓延。虽然这次挖矿事件只感染了几十个集群,但也引起了用户的广泛关注。对于频发的容器化技术劫持事件,有用户批评称,“比特币本应改变或至少重新定义传统数字货币的流程,但最终却沦为某种窃贼的行会票据,真是浪费!同时当时,有网友乐观地表示,挖矿劫持犯罪终将消失,那么,对于功能强大但存在安全隐患的云??计算服务平台,你还会使用吗?
