錯誤配置Argo Workflows將會使Kubernetes云集群遭受攻擊
Argo面向Web的儀表板的錯誤配置權限允許未經身份驗證的攻擊者在Kubernetes目標上運行代碼,包括加密采礦容器。
安全研究人員警告說,Kubernetes 集群正受到配置錯誤的Argo Workflows實例的攻擊。
Argo Workflows是一個開源的容器原生工作流引擎,用于在Kubernetes上協作并行任務,以加快機器學習和大數據處理等計算密集型任務的處理時間。它通常還用于簡化容器部署。與此同時,Kubernetes是一種流行的容器編排引擎,用于管理云部署。
根據Intezer的一項分析,惡意軟件運營商正在通過Argo將加密礦工放入云端,這是因為一些實例可以通過儀表盤公開,不需要外部用戶進行認證。因此,這些錯誤配置的權限可能允許網絡犯罪分子在受害者的環境中運行未經授權的代碼。
根據周二發布的分析,“大多數情況下,權限配置允許任何訪問用戶部署工作流。” “在權限配置錯誤的情況下,攻擊者有可能訪問開放的Argo儀表板,并提交他們自己的工作流程。”
研究人員表示,錯誤配置還可能暴露敏感信息,例如代碼、憑據和私有容器映像名稱(可用于協助其他類型的攻擊)。
通過對網絡的掃描發現大量不受保護的實例,這些實例公司涵蓋多個行業,包括技術、金融和物流。網絡安全公司表示:目前已經確定了受感染的節點,并且由于數百個錯誤配置的部署,有可能發生更大規模的攻擊。
在一個案例中,錯誤代碼在Docker Hub中一個暴露的集群上運行了九個月,然后才被發現和刪除。
攻擊并不難實施
研究人員觀察到不同流行的monero挖礦惡意軟件被放置在位于Docker Hub等存儲庫(包括 Kannix和XMRig)的容器中。
網絡犯罪分子只需通過Argo或其他途徑將其中一個容器拉入Kubernetes。例如,微軟最近標記了一波礦工通過Kubeflow框架感染Kubernetes,以運行機器學習工作流。
研究人員表示:在Docker Hub中,攻擊者仍然可以使用許多monero挖礦選項。 通過簡單的搜索,就能發現至少有45個其他容器,并且下載量達數百萬次。
如何檢查Argo配置錯誤
研究人員指出,查看權限是否配置正確的最快方法是嘗試從公司環境之外的未經認證的匿名瀏覽器訪問Argo工作流儀表板。
研究人員補充說,從技術手段上來說,可以查詢實例的API并檢查狀態代碼。
根據分析,向 [your.instance:port]/api/v1/info 發出HTTP GET 請求。作為未經身份驗證的用戶,返回的HTTP狀態代碼 '401 Unauthorized' 將指示正確配置的實例,而成功的狀態代碼 '200 Success' 可能表明未經授權的用戶能夠訪問該實例。
管理員還可以檢查日志和工作流時間線中的任何可疑活動。網絡安全公司指出,任何運行時間過長的工作流都可能表明存在加密挖礦活動。
即使集群部署在Amazon Web Service (AWS)、EKS 或Azure Kubernetes Service (AKS) 等托管云Kubernetes服務上,共享責任模型仍然表明,云客戶,而不是云提供商,有必要負責對他們部署的應用程序進行必要的安全配置。
云錯誤配置提供網絡攻擊媒介
錯誤配置繼續困擾著各種規模的云計算部門和企業。去年秋天的一項分析發現,6%的谷歌云存儲桶配置錯誤,對公共互聯網開放,任何人都可以訪問它們的內容。
有時,這些問題將會造成嚴重的網絡安全事故。3月份有消息稱,Hobby Lobby 將138GB的敏感信息存放在一個向公眾互聯網開放的云容器中。這些信息包括客戶姓名、部分支付卡信息、電話號碼、物理地址和電子郵件地址。
根據云原生計算基金會(CNCF) 2020年的一項調查,91%的受訪者正在使用Kubernetes,受訪者表示使用和部署容器的最大挑戰是復雜性、安全性和缺乏相關培訓。
網絡安全人員稱,Kubernetes是GitHub上最受歡迎的存儲庫之一,擁有超過100,000次提交和超過3,000名貢獻者。每年使用Kubernetes的企業及其部署的集群數量都在穩步增長。由于企業在使用容器和Kubernetes 集群時面臨這些挑戰,攻擊者利用安全漏洞的機會相應增大,尤其錯誤配置或利用的可能性仍然存在。
安全漏洞為網絡犯罪分子提供了大量機會,數據顯示,90%以上的網絡安全問題是由軟件自身的安全漏洞被利用導致!因此軟件產品在開發過程中建議將安全前置,通過在開發周期過程中加強軟件安全測試,來減少系統安全漏洞,降低被網絡犯罪分子攻擊的幾率。
參讀鏈接:https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/
