共计 1839 个字符,预计需要花费 5 分钟才能阅读完成。
翻译:SEAL 平安
原题目:
Over 900,000 Kubernetes instances found exposed online原文链接:
https://www.bleepingcomputer….
据 Beepingcomputer 音讯,超过 90 万个配置谬误的 Kuberenetes 集群被发现裸露在互联网上,可能会受到潜在的歹意扫描,有些甚至容易受到数据裸露所带来的网络攻击。
Kubernetes 是一个被业界宽泛采纳的开源容器编排引擎,用于托管在线服务并通过对立的 API 接口治理容器化工作负载。
因为其可扩展性、在多云环境中的灵活性、可移植性、老本、利用开发和零碎部署工夫的缩小,它被企业广为采纳并且在近几年内快速增长。
然而,如果 Kubernetes 配置不当,近程攻击者可能会利用谬误配置拜访外部资源和公有资产,而这些资源和资产原本是不应该公开的。
此外,依据配置入侵者有时能够在容器中降级他们的权限,以突破隔离并转向主机过程,从而使他们可能初步进入企业外部网络以进行进一步的攻打。
查找裸露的 Kubernetes
Cyble 的钻研人员进行了一次演习,应用相似于歹意行为者应用的扫描工具和搜寻查问,在网络上查找裸露的 Kubernetes 实例。
结果显示,能发现 90 万台 Kubernetes 服务器,其中 65%(58.5 万台)位于美国,14% 在中国,9% 在德国,而荷兰和爱尔兰各占 6%。
在裸露的服务器中,裸露最多的 TCP 端口是“443”,有超过一百万个实例,端口“10250”的数量为 231,200,而“6443”端口有 84,400 个后果。
必须强调的是,并非所有这些裸露的集群都是可利用的。退一万步来说,即便在那些可利用的集群中,其危险水平也因具体配置而异。
高风险的状况
为了评估有多少裸露的实例可能存在重大危险,Cyble 钻研了对 Kubelet API 的未经认证的申请所返回的错误代码。
绝大多数裸露的实例返回错误代码 403,这意味着未经认证的申请被禁止,无奈通过,所以不能对它们进行攻打。
而后有一个蕴含大概 5000 个实例的子集,返回错误代码 401,示意该申请未经受权。
然而,这个响应给了潜在的攻击者一个提醒,即此集群正在运行,因而他们能够利用破绽尝试其余攻打。
最初,有一个蕴含 799 个 Kubernetes 实例的子集返回状态码为 200,这意味着这些实例齐全裸露给内部攻击者。
在这些状况下,攻击者无需明码即可拜访 Kubernetes Dashboard 上的节点、拜访所有 Secret、执行操作等。
尽管易受攻击的 Kubernetes 服务器的数量相当少,但只须要发现一个可近程利用的破绽,就会有更多的设施容易受到攻打。
为了确保你的集群不在这 799 个实例中,甚至不在裸露水平较低的 5000 个实例中,请参考 NSA 和 CISA 对于加固 Kubernetes 系统安全的指南:
https://www.bleepingcomputer….
把握平安情况
上个月,Shadowserver 基金会公布了一份对于裸露的 Kubernetes 实例的报告,他们发现了 38 万个惟一 IP 响应了 HTTP 错误代码 200。
Cyble 通知 BleepingComputer,造成这种微小差别的起因是,他们应用了开源扫描器和简略查问,这是任何威逼者都能够应用的。而 Shadowserver 则扫描了整个 IPv4 空间,并每天监测新增内容。
“咱们最终公布的 Kubernetes 博客中提供的统计数据是基于开源扫描器和产品可用的查问。正如博客中提到的,咱们依据查问‘Kubernetes’、‘Kubernetes-master’、‘KubernetesDashboard’、‘K8’和 favicon hashes 以及状态代码 200、403 和 401 进行了搜寻。”Cyble 解释说。
“据他们的博客内容显示,Shadowserver 采取了一种不同的办法来查找裸露状况,‘咱们每天应用 /version URI 的 HTTP GET 申请进行扫描。扫描 6443 和 443 端口的所有 IPv4 空间,并且只包含响应 200 OK(附带 JSON 响应)的 Kubernetes 服务器,因而在其响应中披露版本信息。’”
“因为咱们不像 Shadowserver 那样扫描残缺的 IPv4 空间,而是依附开源工具提供的情报,所以咱们失去的后果与 Shadowserver 不同。”
尽管 Cyble 的数据可能没有那么令人印象粗浅,但从这些数据背地的 Kubernetes 集群容易定位和攻打的角度来看,它们十分重要。