翻譯：SEAL安全

原標(biāo)題：

Over 900,000 Kube.NETes instances found exposed online

原文鏈接：

https://www.bleepingcomputer.com/news/security/over-900-000-kubernetes-instances-found-exposed-online/

據(jù) Beepingcomputer 消息，超過90萬個配置錯誤的 Kuberenetes 集群被發(fā)現(xiàn)暴露在互聯(lián)網(wǎng)上，可能會受到潛在的惡意掃描，有些甚至容易受到數(shù)據(jù)暴露所帶來的網(wǎng)絡(luò)攻擊。

Kubernetes 是一個被業(yè)界廣泛采用的開源容器編排引擎，用于托管在線服務(wù)并通過統(tǒng)一的 API 接口管理容器化工作負(fù)載。

由于其可擴展性、在多云環(huán)境中的靈活性、可移植性、成本、應(yīng)用開發(fā)和系統(tǒng)部署時間的減少，它被企業(yè)廣為采用并且在近幾年內(nèi)快速增長。

然而，如果 Kubernetes 配置不當(dāng)，遠(yuǎn)程攻擊者可能會利用錯誤配置訪問內(nèi)部資源和私有資產(chǎn)，而這些資源和資產(chǎn)本來是不應(yīng)該公開的。

此外，根據(jù)配置入侵者有時可以在容器中升級他們的權(quán)限，以打破隔離并轉(zhuǎn)向主機進程，從而使他們能夠初步進入企業(yè)內(nèi)部網(wǎng)絡(luò)以進行進一步的攻擊。

查找暴露的Kubernetes

Cyble 的研究人員進行了一次演習(xí)，使用類似于惡意行為者使用的掃描工具和搜索查詢，在網(wǎng)絡(luò)上查找暴露的 Kubernetes 實例。

結(jié)果顯示，能發(fā)現(xiàn)90萬臺 Kubernetes服務(wù)器，其中65%（58.5萬臺）位于美國，14%在中國，9%在德國，而荷蘭和愛爾蘭各占6%。

在暴露的服務(wù)器中，暴露最多的TCP端口是 “443”，有超過一百萬個實例，端口“10250”的數(shù)量為231,200，而 “6443”端口有84,400個結(jié)果。

必須強調(diào)的是，并非所有這些暴露的集群都是可利用的。退一萬步來說，即使在那些可利用的集群中，其風(fēng)險程度也因具體配置而異。

高風(fēng)險的情況

為了評估有多少暴露的實例可能存在重大風(fēng)險，Cyble 研究了對 Kubelet API 的未經(jīng)認(rèn)證的請求所返回的錯誤代碼。

絕大多數(shù)暴露的實例返回錯誤代碼403，這意味著未經(jīng)認(rèn)證的請求被禁止，無法通過，所以不能對它們進行攻擊。

然后有一個包含大約5000個實例的子集，返回錯誤代碼401，表示該請求未經(jīng)授權(quán)。

然而，這個響應(yīng)給了潛在的攻擊者一個提示，即此集群正在運行，因此他們可以利用漏洞嘗試其他攻擊。

最后，有一個包含799個 Kubernetes 實例的子集返回狀態(tài)碼為 200，這意味著這些實例完全暴露給外部攻擊者。

在這些情況下，攻擊者無需密碼即可訪問 Kubernetes Dashboard 上的節(jié)點、訪問所有 Secret、執(zhí)行操作等。

雖然易受攻擊的 Kubernetes 服務(wù)器的數(shù)量相當(dāng)少，但只需要發(fā)現(xiàn)一個可遠(yuǎn)程利用的漏洞，就會有更多的設(shè)備容易受到攻擊。

為了確保你的集群不在這799個實例中，甚至不在暴露程度較低的5000個實例中，請參考 NSA 和 CISA 關(guān)于加固Kubernetes系統(tǒng)安全的指南：

https://www.bleepingcomputer.com/news/security/nsa-and-cisa-share-kubernetes-security-recommendations/

掌握安全狀況

上個月，Shadowserver 基金會發(fā)布了一份關(guān)于暴露的 Kubernetes 實例的報告，他們發(fā)現(xiàn)了38萬個唯一IP響應(yīng)了 HTTP 錯誤代碼200。

Cyble 告訴 BleepingComputer，造成這種巨大差異的原因是，他們使用了開源掃描器和簡單查詢，這是任何威脅者都可以使用的。而 Shadowserver 則掃描了整個IPv4空間，并每天監(jiān)測新增內(nèi)容。

“我們最終發(fā)布的 Kubernetes 博客中提供的統(tǒng)計數(shù)據(jù)是基于開源掃描器和產(chǎn)品可用的查詢。正如博客中提到的，我們根據(jù)查詢 ‘Kubernetes’、‘Kubernetes-master’、‘KubernetesDashboard’、‘K8’ 和 favicon hashes 以及狀態(tài)代碼200、403和401進行了搜索。”Cyble解釋說。

“據(jù)他們的博客內(nèi)容顯示，Shadowserver 采取了一種不同的方法來查找暴露情況，‘我們每天使用 /version URI的HTTP GET請求進行掃描。掃描6443和443端口的所有IPv4空間，并且只包括響應(yīng) 200 OK（附帶JSON響應(yīng)）的Kubernetes服務(wù)器，因此在其響應(yīng)中披露版本信息。’”

“由于我們不像 Shadowserver 那樣掃描完整的IPv4空間，而是依靠開源工具提供的情報，所以我們得到的結(jié)果與 Shadowserver 不同。”

雖然 Cyble 的數(shù)據(jù)可能沒有那么令人印象深刻，但從這些數(shù)據(jù)背后的 Kubernetes 集群容易定位和攻擊的角度來看，它們非常重要。