Πάνω από 900.000 misconfigured Kubernetes clusters βρέθηκαν εκτεθειμένα στο Διαδίκτυο σε δυνητικά κακόβουλες σαρώσεις, μερικά ακόμη και ευάλωτα σε κυβερνοεπιθέσεις που εκθέτουν δεδομένα.
Το Kubernetes είναι ένα εξαιρετικά ευέλικτο σύστημα open-source container orchestration για τη φιλοξενία διαδικτυακών υπηρεσιών και τη διαχείριση φόρτου εργασίας με container μέσω ενός ενιαίου API interface.
Δείτε επίσης: Microsoft: Επιδιορθώνει ζητήματα Windows RRAS, VPN για όλους τους χρήστες
Απολαμβάνει τεράστιους ρυθμούς υιοθέτησης και ανάπτυξης χάρη στην επεκτασιμότητα, την ευελιξία σε περιβάλλοντα με πολλά cloud, τη φορητότητα, το κόστος, την ανάπτυξη εφαρμογών και τις μειώσεις του χρόνου ανάπτυξης του συστήματος.
Ωστόσο, εάν το Kubernetes δεν έχει ρυθμιστεί σωστά, οι απομακρυσμένοι φορείς ενδέχεται να έχουν πρόσβαση σε εσωτερικούς πόρους και ιδιωτικά στοιχεία που δεν προοριζόταν να δημοσιοποιηθούν.
Επιπλέον, ανάλογα με τη διαμόρφωση, οι εισβολείς θα μπορούσαν να κλιμακώσουν τα προνόμιά τους από containers και να περιστραφούν στις διεργασίες υποδοχής, παρέχοντάς τους αρχική πρόσβαση σε εσωτερικά εταιρικά δίκτυα για περαιτέρω επιθέσεις.
Δείτε επίσης: Bank of the West: Aριθμοί χρεωστικών καρτών και PIN κλάπηκαν μέσω skimmers σε ATM
Εύρεση εκτεθειμένων Kubernetes
Ερευνητές της Cyble πραγματοποίησαν μια άσκηση για να εντοπίσουν εκτεθειμένα Kubernetes instances στο itnernet, χρησιμοποιώντας παρόμοια εργαλεία σάρωσης και search queries με εκείνα που χρησιμοποιούνται από κακόβουλους παράγοντες.
Τα αποτελέσματα δείχνουν 900.000 Kubernetes servers, με το 65% από αυτούς (585.000) να βρίσκονται στις Ηνωμένες Πολιτείες, το 14% στην Κίνα, το 9% στη Γερμανία, ενώ η Ολλανδία και η Ιρλανδία αντιστοιχούν σε 6% η καθεμία.
Από τους εκτεθειμένους servers, οι κορυφαίες πιο εκτεθειμένες θύρες TCP ήταν οι “443”, με κάτι παραπάνω από ένα εκατομμύριο instances, το “10250” μετράει 231, 200 και το “6443” με 84.400 αποτελέσματα.
Είναι σημαντικό να υπογραμμιστεί ότι δεν είναι όλα αυτά τα εκτεθειμένα clusters εκμεταλλεύσιμα, και ακόμη και μεταξύ εκείνων που είναι, το επίπεδο κινδύνου ποικίλλει ανάλογα με τη μεμονωμένη διαμόρφωση.
Instances υψηλού κινδύνου
Για να αξιολογήσει πόσες από τα εκτεθειμένα instances ενδέχεται να διατρέχουν σημαντικό κίνδυνο, η Cyble εξέτασε τους κωδικούς σφάλματος που επιστράφηκαν στα μη επικυρωμένα αιτήματα στο Kubelet API.
Δείτε επίσης: ΗΠΑ, Βραζιλία: Κατάργηση 272 sites που επέτρεπαν παράνομη λήψη μουσικής
Η συντριπτική πλειονότητα των εκτεθειμένων instances επιστρέφει τον κωδικό σφάλματος 403, που σημαίνει ότι το αίτημα χωρίς έλεγχο ταυτότητας είναι απαγορευμένο και δεν μπορεί να διεκπεραιωθεί, επομένως δεν μπορούν να εμφανιστούν επιθέσεις εναντίον τους.
Στη συνέχεια, υπάρχει ένα υποσύνολο περίπου πέντε χιλιάδων instances που απαντούν με κωδικό σφάλματος 401, που υποδηλώνει ότι το αίτημα δεν είναι εξουσιοδοτημένο.
Ωστόσο, αυτή η απόκριση δίνει σε έναν δυνητικό εισβολέα ένα tip ότι το cluster λειτουργεί και θα μπορούσε να δοκιμάσει πρόσθετες επιθέσεις που βασίζονται σε exploits και τρωτά σημεία.
Τέλος, υπάρχει ένα μικρό υποσύνολο 799 Kubernetes instances που επιστρέφουν έναν κωδικό κατάστασης 200, τα οποία είναι πλήρως εκτεθειμένα σε εξωτερικούς εισβολείς.
Σε αυτά τα instances, οι απειλητικοί φορείς μπορούν να έχουν πρόσβαση στα nodes στο Kubernetes Dashboard χωρίς κωδικό πρόσβασης, να έχουν πρόσβαση σε όλα τα μυστικά, να εκτελούν ενέργειες κ.λπ.
Ενώ ο αριθμός των ευάλωτων Kubernetes servers είναι αρκετά χαμηλός, το μόνο που χρειάζεστε είναι μια ευπάθεια απομακρυσμένης εκμετάλλευσης που πρέπει να ανακαλυφθεί ώστε ένας πολύ μεγαλύτερος αριθμός συσκευών να γίνει ευάλωτος σε επιθέσεις.
Για να βεβαιωθείτε ότι το cluster σας δεν είναι μεταξύ αυτών των 799 ή ακόμα και του λιγότερο εκτεθειμένου σετ των 5.000 instances, συμβουλευτείτε τις οδηγίες της NSA και της CISA σχετικά με την ενίσχυση της ασφάλειας του συστήματος Kubernetes.
Πηγή πληροφοριών: bleepingcomputer.com
