Los clústeres en la nube de Kubernetes abordan los ciberataques a través de los flujos de trabajo de Argo - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los clústeres en la nube de Kubernetes abordan los ciberataques a través de los flujos de trabajo de Argo

Hola otra vez. Yo soy Eduardo Arroyo y esta vez vamos a hablar sobre Los clústeres en la nube de Kubernetes abordan los ciberataques a través de los flujos de trabajo de Argo

Los clústeres en la nube de Kubernetes abordan los ciberataques a través de los flujos de trabajo de Argo

Los permisos incorrectos para el panel de control orientado a la web de Argo permiten que atacantes no autenticados ejecuten código en los objetivos de Kubernetes, incluidos los contenedores de cifrado.

Los clústeres de Kubernetes son atacados a través de instancias de Argo Workflows configuradas incorrectamente, advierten los investigadores de seguridad.

Argo Workflows es un motor de flujo de trabajo de contenedor nativo y de código abierto para orquestar trabajos paralelos en Kubernetes, con el fin de acelerar los tiempos de procesamiento para trabajos de computación intensiva, como el aprendizaje automático y el procesamiento de macrodatos. También se utiliza para simplificar las implementaciones de contenedores en general. Mientras tanto, Kubernetes es un motor de orquestación de contenedores popular para administrar implementaciones en la nube.

Según un análisis de Intezer, los operadores de malware están introduciendo criptomineros en la nube a través de Argo gracias a algunas instancias disponibles públicamente a través de paneles que no requieren autenticación para usuarios externos. Estos permisos mal configurados pueden permitir que las amenazas ejecuten código no autorizado en el entorno de la víctima.

«En muchos casos, se configuran permisos que permiten a cualquier usuario visitante implementar flujos de trabajo», según el análisis de Intezer. publicado el martes. «En los casos en los que los permisos están configurados incorrectamente, es posible que un atacante inicie sesión en un panel de Argo abierto y envíe su flujo de trabajo».

Los investigadores dijeron que las configuraciones incorrectas también pueden exponer información confidencial como código, credenciales y nombres de imágenes de contenedores privados (que pueden usarse para ayudar en otros tipos de ataques).

El escaneo web de Intezer encontró muchas instancias no seguras, administradas por empresas de diferentes industrias, incluidas las de tecnología, finanzas y logística.

«Hemos identificado nodos infectados y existe la posibilidad de ataques a gran escala debido a cientos de implementaciones mal configuradas», según Intezer. En un caso, el código no válido se ejecutó en un clúster expuesto en Docker Hub durante nueve meses antes de ser descubierto y eliminado.

Los ataques no son difíciles de ejecutar: los investigadores observaron varios malware de minería de Monero populares alojados en contenedores ubicados en repositorios como Docker Hub, incluidos Kannix y XMRig. Los ciberdelincuentes solo necesitan llevar uno de esos contenedores a Kubernetes a través de Argo u otra ruta. Por ejemplo, Microsoft informó recientemente sobre una ola de mineros que infestan Kubernetes a través del marco de Kubeflow para ejecutar flujos de trabajo de aprendizaje automático.

«En Docker Hub, todavía hay una serie de opciones de minería de Monero que los atacantes pueden usar», dijeron los investigadores. «Con una simple búsqueda, muestra que hay al menos otros 45 contenedores con millones de descargas».

La forma más rápida de ver si los permisos están configurados correctamente es simplemente intentar acceder al panel de Argo Workflows desde un navegador de incógnito no autenticado fuera del entorno corporativo, anotaron los investigadores.

Una forma de verificación más centrada en la tecnología es consultar la API de una instancia y verificar el código de estado, agregaron los investigadores.

«Realizar una solicitud HTTP GET para [your.instance:port]/ api / v1 / info «, según el análisis.» Un código de estado HTTP devuelto de ‘401 No autorizado’ a pesar de ser un usuario no autenticado indicará una instancia configurada correctamente, mientras que un código de estado correcto de ‘200 Éxito’ puede indicar que un un usuario no autorizado puede acceder a la instancia «.

Los administradores también pueden verificar si hay actividad sospechosa en los registros y en la línea de tiempo del flujo de trabajo. Intezer señaló que cualquier flujo de trabajo que se ejecute durante una cantidad excesiva de tiempo podría indicar una actividad de criptominería.

“Incluso si su clúster se implementa en un servicio en la nube de Kubernetes administrado, como Amazon Web Service (AWS), EKS o Azure Kubernetes Service (AKS), el modelo de responsabilidad compartida aún establece que el cliente de la nube, no el proveedor de la nube, es responsable se encargan de todas las configuraciones de seguridad necesarias para las aplicaciones que implementan «, señalaron los investigadores.

Los errores de configuración continúan afectando a la industria de la nube y a las organizaciones de todos los tamaños. Un análisis del otoño pasado descubrió que el 6% de todos los depósitos de Google Cloud están mal configurados y se dejan abiertos a la Internet pública para que cualquiera pueda acceder a su contenido.

A veces, estos errores son noticia: en marzo se reveló que Hobby Lobby había dejado 138 GB de información confidencial en una nube abierta a la Internet pública. La tesorería incluía nombres de clientes, detalles parciales de la tarjeta de pago, números de teléfono y direcciones físicas y de correo electrónico.

Según una Cloud Native Computing Foundation (CNCF) Encuesta 2020, El 91% de los encuestados usaban Kubernetes, y los encuestados informaron que los principales desafíos en el uso e implementación de contenedores son la complejidad, la seguridad y la falta de capacitación.

«Kubernetes … es uno de los repositorios más populares en GitHub, con más de 100,000 confirmaciones y más de 3,000 contribuyentes», señalaron los investigadores de Intezer. “Cada año hay un aumento constante en la cantidad de empresas que utilizan Kubernetes y la cantidad de clústeres que implementan. Con estos desafíos que enfrentan las empresas al usar contenedores y clústeres de Kubernetes, nunca ha habido una mayor oportunidad para que los atacantes exploten las debilidades de seguridad … siempre existe la posibilidad de errores de configuración o explotación «.

.

Recuerda compartir en en tu Twitter y Facebook para que tus amigos opinen

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *