共计 1307 个字符,预计需要花费 4 分钟才能阅读完成。
近日,有钻研人员发现,超过 38 万个 Kubernetes API 服务器容许以某种形式拜访公共互联网,这让用于治理云部署的风行开源容器 Kuvernetes 变成了一个宽泛的攻打域,易于被威逼者当作攻打指标。
据本周的一篇博客称,Shadowserver 基金会在扫描互联网上的 Kubernetes API 服务器时发现了此问题。目前,受影响的服务器曾经超过了 45 万个。
ShadowServer 每天会对 IPv4 空间的端口 443 和 6443 进行扫描,寻找响应 ‘HTTP 200 OK 状态 ‘ 的 IP 地址,若失去响应,则该申请曾经胜利。
钻研人员示意,在 Shadowserver 发现的 454729 个 Kubernetes API 实例中,有 381645 个响应 ”200 OK”。因而,凋谢的 API 实例占 Shadowserver 扫描的所有 API 实例的近 84%。
此外,大部分可拜访的 Kubernetes 服务器共有 201348 个,其中有将近 53% 都位于美国。
该博客称,尽管扫描的后果并不意味着这些服务器齐全凋谢或容易受到攻打,但它的确表明了这些服务器中都存在 ” 一个裸露的攻击面 ”。
钻研人员指出,这种裸露可能会让各种版本和构建的信息产生透露。
云设施始终在处于攻打之中
让人十分不安的是,攻击者曾经越来越多地瞄准 Kubernetes 星散群进行攻打。
但事实上,数据安全公司 comforte AG 的网络安全专家 Erfan Shadabi 在给媒体的一封电子邮件中示意,对于 Shadowserver 扫描发现如此多 Kubernetes 服务器裸露在公共互联网上这件事,他并不诧异:
“Kubernetes 为企业的麻利利用交付提供了很多便当,有一些特色使其成为现实的攻打指标,例如,因为领有许多容器,Kubernetes 有一个很大的攻击面,如果不事后采取保护措施,就很有可能被攻击者利用。”
开源设施的安全性
此发现引出了一个长期存在的问题,即如何构建开源零碎的安全性,这些零碎作为古代互联网和云基础设施的一部分,在互联网中曾经无处不在。因而,针对它们的攻打曾经成为了对它们所连贯的有数零碎的攻打。
其实这个问题在去年就已被留神到,六个月前,钻研人员发现了无处不在的 Java 日志库 Apache Log4j 中的 Log4Shell 破绽。
该破绽很容易被利用,并且容许未经身份验证的攻击者近程执行代码 (RCE) 和齐全接管服务器。最近的一份报告发现,只管有可用于 Log4Shell 的补丁,但仍有数百万的 Java 应用程序依然存在大量破绽。
据 Shadabi 称,Kubernetes 存在一个致命弱点:平台内置的数据安全性能只能以最低限度爱护数据,并且数据自身没有失去继续的爱护,例如应用行业公认的技术,如字段级标记化等。因而,如果一个生态系统受到损坏,它所解决的敏感数据迟早会受到更荫蔽的攻打。
Shadabi 对于那些在生产环境中应用容器和 Kubernetes 的组织的倡议是,要像看待 IT 基础设施一样认真全面的看待 Kubernetes 的平安。
最初,Shadowserver 基金会倡议,如果管理员发现其环境中的 Kubernetes 实例能够拜访互联网,他们应该思考采取拜访受权或在防火墙层面进行阻断,以缩小裸露的攻击面。