Argo的面向Web的仪表板错误配置的权限允许未经身份验证的攻击者在Kubernetes目标上运行代码,包括加密容器。安全研究人员警告说,Kubernetes集群正受到配置错误的ArgoWorkflows实例的攻击。ArgoWorkflows是一个开源的容器原生工作流引擎,用于在Kubernetes上协同并行任务,以加快机器学习和大数据处理等计算密集型任务的处理时间。它也常用于简化容器部署。同时,Kubernetes是一种流行的容器编排引擎,用于管理云部署。根据Intezer的分析,恶意软件运营商正在通过Argo将加密矿工置于云端,因为某些实例可以通过仪表板公开,并且不需要外部用户进行身份验证。因此,这些错误配置的权限可能允许网络犯罪分子在受害者的环境中运行未经授权的代码。“在大多数情况下,权限配置允许任何访问用户部署工作流,”周二发布的分析报告称。“在权限配置错误的情况下,攻击者有可能获得对打开的Argo仪表板的访问权限并提交他们自己的工作流程。”研究人员表示,错误配置还可能暴露敏感信息,例如代码、凭据和私有容器映像名称(可用于协助其他类型的攻击)。对网络的扫描发现了许多未受保护的公司实例,这些公司横跨多个行业,包括技术、金融和物流。这家网络安全公司表示,现在已经确定了受感染的节点,并且可能由于数百个配置错误的部署而导致更大规模的攻击。在一个案例中,有缺陷的代码在DockerHub的一个暴露的集群上运行了九个月,然后才被发现并删除。攻击并不难实施研究人员观察到,不同的流行门罗币挖矿恶意软件被放置在位于DockerHub等存储库中的容器中,包括Kannix和XMRig。网络犯罪分子只需通过Argo或其他方式将其中一个容器拉入Kubernetes。例如,微软最近标记了一波矿工通过Kubeflow框架感染Kubernetes以运行机器学习工作流程。研究人员表示,在DockerHub中,攻击者仍然可以使用许多门罗币挖矿选项。一个简单的搜索找到了至少45个其他容器,具有数百万的下载量。如何检查Argo配置错误研究人员指出,查看权限配置是否正确的最快方法是尝试从企业环境之外的未经身份验证的匿名浏览器访问Argo工作流仪表板。研究人员补充说,在技术上可以查询实例的API并检查状态代码。根据分析,向[your.instance:port]/api/v1/info发出HTTPGET请求。作为未经身份验证的用户,返回的HTTP状态代码“401Unauthorized”表示实例配置正确,而成功状态代码“200Success”可能表示未经授权的用户能够访问该实例。管理员还可以检查日志和工作流程时间表以查找任何可疑活动。这家网络安全公司指出,任何运行时间过长的工作流程都可能表明存在加密挖矿活动。即使集群部署在AmazonWebService(AWS)、EKS或AzureKubernetesService(AKS)等托管云Kubernetes服务上,责任共担模型仍然要求云客户而非云提供商对其部署的应用程序负责进行必要的安全配置。云错误配置提供了网络攻击向量错误配置继续困扰着各种规模的云计算部门和企业。去年秋天的一项分析发现,6%的谷歌云存储桶配置错误并向公共互联网开放,允许任何人访问其内容。有时,这些问题会导致严重的网络安全事件。3月份有消息称,HobbyLobby在一个向公共互联网开放的云容器中存储了138GB的??敏感信息。这些信息包括客户姓名、一些支付卡信息、电话号码、实际地址和电子邮件地址。根据云原生计算基金会(CNCF)2020年的一项调查,91%的受访者正在使用Kubernetes,受访者表示使用和部署容器的最大挑战是复杂性、安全性和缺乏相关培训。据网络安全专业人士称,Kubernetes是GitHub上最受欢迎的存储库之一,提交次数超过100,000次,贡献者超过3,000人。使用Kubernetes的企业数量和部署的集群数量每年都在稳步增长。由于组织在使用容器和Kubernetes集群时面临这些挑战,攻击者利用安全漏洞的机会相应增加,尤其是在错误配置或利用的可能性仍然存在的情况下。安全漏洞为网络犯罪分子提供了大量机会。统计表明,90%以上的网络安全问题都是由于利用软件本身的安全漏洞造成的!因此,建议在软件产品的开发过程中前置安全。加强软件安全测试,减少系统安全漏洞,减少被网络犯罪分子攻击的机会。参考链接:https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/
