作者 | Jeff Burt

　　譯者 | 仇凱

　　整理 | Noe

在云原生時代，越來越多的企業意識到容器將成為IT架構中關鍵的基礎設施平臺，紛紛轉向Kubernetes，通過其容器編排及管理能力，輕松維護生產、開發和測試環境。但近日有研究人員發現，大量Kubernetes API服務器存在安全風險。

非營利性安全組織Shadowserver Foundation最近掃描了454729個Kubernetes API實例。通過掃描端口6443和443上的所有IPv4空間，尋找響應“HTTP 200 OK 狀態”（這表明請求成功）的IP地址，結果發現其中有381645個響應為 "200 OK"，占總體的84%。

掃描結果并不意味著這些服務器完全開放，它更多地意味著這些服務器有可能成為易受威脅的攻擊目標，為攻擊者提供入侵企業網絡的可行途徑。

“雖然這并不意味著這些實例是完全開放或存在可被攻擊的漏洞，這種級別的訪問方式似乎并非有意造成的，但是這些實例是非必要的攻擊暴露面，”Shadowserver的團隊在一篇文章中強調，“這還導致了包含軟件版本和構建方式等信息的泄漏。”

數據安全公司Comforte AG的市場主管Erfan Shadabi表示，盡管這些信息看似無關緊要，但是企業不應低估這些Kubernetes API服務器在互聯網暴露所帶來的風險。

Shadabi提到：“Kubernetes的發展勢不可擋，它為企業應用程序的敏捷交付創造了巨大收益，但它的工作特性使其成為了理想的攻擊目標。例如，由于管理和運行許多容器，Kubernetes就形成了很大的攻擊面，如果事先未進行充分評估并建立有效的防護措施，這些攻擊面就非常容易遭受攻擊。因此，Shadowserver Foundation的掃描發現了如此多的漏洞也就不足為奇了。”

更令人擔憂的是，Kubernetes內置的數據安全功能只達到了安全要求的最低標準，只能保護靜態數據和動態數據，“沒有使用類似字段級標記化的行業通用技術來對數據本身進行持久保護”。

“如果一個生態系統受到威脅，那么與之相關的敏感數據受到無法抵擋的潛在攻擊只是時間問題。在生產環境中使用容器和Kubernetes的企業必須謹慎對待Kubernetes的安全性問題。”

Kubernetes目前是本地環境和公有云環境中最受歡迎的容器管理工具，Red Hat(OpenShift)、VMware(Tanzu)和SUSE(Rancher)等供應商都有商業版本的Kubernetes系統可供選擇。根據市場研究公司Statista的數據，截至2021年，全球近50%的企業已經直接或間接地使用了Kubernetes。因此其潛在的安全風險更加不容忽視。

近年來，我們發現開源系統逐漸受到更多攻擊者的青睞。在云計算時代，圍繞Linux的攻擊面在逐漸擴大。

網絡安全供應商趨勢科技在去年的一份報告中指出，其Cloud One產品保護的云工作負載中，Linux系統占61%，Windows系統占39%。網絡威脅的范圍從勒索軟件和木馬延伸到挖礦軟件和Webshell。

“鑒于Linux深深植根于日常工作，尤其是作為云基礎設施和物聯網(IoT)不可或缺的一部分，Linux和Linux工作負載的安全性必須與Windows和其他操作系統同等對待。”趨勢科技的研究人員寫道。

去年年底，當被廣泛使用的Apache Log4j日志工具中的漏洞被披露時，開源系統面臨的風險和威脅就被凸顯出來了。這些缺陷很容易被利用，而且Log4j的使用非常廣泛，以至于許多企業很難在其IT環境中找到所有包含Log4j的實例來修復它們。攻擊者反應非常快速，利用這個被稱為Log4Shell的缺陷進行大范圍的攻擊，并持續將它們用作系統的攻擊錨點。

這在上周的一份報告中得到了證明，該報告發現與俄羅斯有關的Wizard Spider是Conti和Ryuk等勒索軟件背后的威脅組織，它在某些利用Log4Shell開展的活動中有廣泛的影響力。

Shadowserver建議企業對Kubernetes API服務器實施訪問授權或在防火墻中配置阻斷策略以阻止未授權訪問，進而減少攻擊面。

譯者介紹

　　仇凱，51CTO社區編輯，目前就職于北京宅急送快運股份有限公司，職位為信息安全工程師。主要負責公司信息安全規劃和建設（等保，ISO27001），日常主要工作內容為安全方案制定和落地、內部安全審計和風險評估以及管理。

　　原文標題：381,000-plus Kubernetes API servers 'exposed to internet'，

　　鏈接：https://www.theregister.com/2022/05/23/kubernetes-vulnerable-shadowserver/