Sur cette page: [cacher]
Des pirates informatiques ont été détectés pour détourner des nœuds Kubernetes mal configurés, une partie intégrante du Microsoft Azure Cloud. C'est l'un des services les plus importants offerts par l'entreprise car ils font partie de services complexes déployés par les clients. Le but du groupe de piratage inconnu est d'installer un instance de mineur de crypto-monnaie et ainsi exploiter les instances.
Nœuds Kubernetes ciblés par des pirates: Clients Microsoft Azure Cloud avertis
Récemment, de nombreux incidents de sécurité ont été signalés ciblant des nœuds Kubernetes hébergés sur la plateforme cloud Microsoft Azure. Et contrairement à la méthode courante d'exploitation des vulnérabilités, les pirates informatiques recherchent cette fois configuration incorrecte. Cela permet aux attaquants distants d'accéder aux conteneurs.
Dans la campagne détectée, les campagnes détectées visent à Kuberflow qui est populaire projet open source qui aide les utilisateurs à gérer les travaux TensorFlow sur leur installation Kubernetes. Au fil des ans, cela est devenu l'un des cadres dominants pour le lancement de tâches d'apprentissage automatique sur la plateforme cloud Microsoft Azure.
Celles-ci mineurs de crypto-monnaie sont destinés à exécuter des tâches exigeantes en matériel qui tireront parti de la puissance de calcul disponible. Cela se fait en lançant un script ou un programme sur la plateforme cloud qui téléchargera et rendra compte de l'exécution des tâches. Pour chaque terminé, les contrôleurs de pirates recevront des actifs de crypto-monnaie directement dans leurs portefeuilles numériques. La raison pour laquelle les nœuds Kubernetes sont ciblés est qu'ils sont très puissants et incluent des GPU capables qui peuvent fournir la puissance de calcul requise.
Lire aussi 2.3 Tbps DDoS Attack Hit AWS, et c'est le plus grand jusqu'ici
Le mécanisme d'intrusion passe par le tableau de bord Kuberflow mal configuré qui doit conduire à l'exposition de la fonctionnalité de l'interface utilisateur. Par défaut, le Passerelle Istio Ingress n'est accessible qu'en interne. toutefois, les propriétaires de Kubernetes dans certaines configurations ont modifié les paramètres afin que le service soit accessible à partir d'Internet plus large. Lorsque cela est fait, les pirates potentiels peuvent accéder à cette ressource interne et, par conséquent, aux conteneurs. Les actions possibles incluent même le lancement de nouveaux conteneurs contenant le code de crypto-monnaie.
Les instances de cloud mal configurées sont l'une des principales raisons des intrusions contrôlées par des pirates. Dans le cas du cloud Microsoft Azure, plusieurs conseils de sécurité peuvent être suivis:
- Activer les contrôles d'accès et d'authentification aux applications déployées
- Surveiller les points de terminaison accessibles au public pour détecter tout comportement suspect
- Surveillez l'environnement d'exécution qui inclut tous les conteneurs, images, et processus en cours
- Déployez uniquement des images de confiance et analysez-les pour détecter d'éventuelles vulnérabilités. Utilisez les contrôles de stratégie Azure pour restreindre les éventuelles connexions et scénarios non sécurisés