Microsoft: grandes ataques de criptominería afectan a Kubeflow - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Microsoft: grandes ataques de criptominería afectan a Kubeflow

Hola y mil gracias por leerme. En el teclado Eduardo Arroyo y en esta ocasión hablaremos sobre Microsoft: grandes ataques de criptominería afectan a Kubeflow

Microsoft: grandes ataques de criptominería afectan a Kubeflow

Los paneles configurados incorrectamente son una vez más el foco de una campaña de criptomonedas en curso y generalizada que exprime a Monero y Ethereum de los clústeres de Kubernetes.

Microsoft ha identificado un nuevo ataque generalizado y en curso dirigido a los clústeres de Kubernetes que ejecutan instancias de Kubeflow, con el fin de plantar pods de TensorFlow maliciosos que se utilizan para extraer criptomonedas.

El proyecto de código abierto de Kubeflow es un marco popular para ejecutar tareas de aprendizaje automático (ML) en Kubernetes, mientras que TensorFlow es una plataforma de ML de código abierto de extremo a extremo.

Dado que el ataque aún está activo, cualquier nuevo clúster de Kubernetes que ejecute Kubeflow podría verse comprometido, según Microsoft.

Martes, investigadores de seguridad de Microsoft prevenido que a fines de mayo aumentó las implementaciones de los pods de TensorFlow en los clústeres de Kubernetes: pods que ejecutan imágenes legítimas de TensorFlow desde su cuenta oficial de Docker Hub. Pero una mirada más cercana al punto de entrada de las cápsulas reveló que su propósito es extraer criptomonedas.

Yossi Weizman, ingeniero senior de software de investigación de seguridad en Microsoft Azure Security Center, dijo en un mandar El martes que la «explosión» de estas distribuciones maliciosas de TensorFlow fue «simultánea», lo que indica que los atacantes inicialmente escanearon los clústeres, mantuvieron una lista de objetivos potenciales y luego apretaron el gatillo de todos ellos a la vez.

Weizman explicó que los atacantes usaron dos imágenes separadas: la primera es la última versión de TensorFlow (tensorflow/tensorflow:latest) y la segunda es la última versión compatible con GPU (tensorflow/tensorflow:latest-gpu). Usar imágenes de TensorFlow en el clúster «tiene mucho sentido», dijo Weizman, ya que «si se monitorean las imágenes en el clúster, [a] una imagen legítima puede evitar que los atacantes sean detectados «.

Otra razón por la que la elección de los atacantes es comprensible es que la imagen de TensorFlow que han elegido es una forma rentable de realizar tareas de GPU utilizando CUDA, lo que «permite al atacante maximizar las ganancias mineras del host», dijo. CUDA es un conjunto de herramientas creado por NVIDIA, que se utiliza para desarrollar, optimizar e implementar aplicaciones aceleradas por GPU.

Similar al ataque de criptominería del año pasado

El ataque recién descubierto es similar a un ataque de minería de criptomonedas que Microsoft informó el pasado junio. Esa campaña anterior también se dirigió a las cargas de trabajo de Kubeflow, aprovechando los paneles de control mal configurados para lanzar una campaña de minería XMRIG Monero generalizada. Avance rápido un año y esta minería de criptomonedas recientemente descubierta hace un movimiento similar, utilizando interfaces de Kubeflow expuestas para ejecutar contenedores de minería de criptomonedas.

La última campaña agrega algunos cambios: como lo describió Weizman, esta vez los atacantes abusaron del acceso al panel centralizado de Kubeflow para crear una nueva canalización.

Como explicó Weizman en la publicación, Kubeflow Pipelines es una plataforma para distribuir pipelines ML, basada en Argo Workflow, un motor de flujo de trabajo nativo de contenedor de código abierto para orquestar trabajos paralelos en Kubernetes. La canalización implica una serie de pasos, cada uno como un contenedor independiente, que juntos forman un flujo de trabajo de AA. La imagen del contenedor que se ejecuta en cada etapa se determina en la configuración de la tubería, dijo.

Tuberías de Kubeflow. Fuente: Microsoft.

El acceso a la interfaz de usuario de la canalización es fundamental en este ataque: una vez que los atacantes obtienen acceso a ese panel, pueden crear un nuevo clúster en la canalización. En este caso, eso significa contenedores que ejecutan imágenes de TensorFlow que configuran la minería de criptomonedas.

Todos los pods maliciosos se configuraron con el mismo patrón: «secuencial-canalización- patrón aleatorio». Ese nombre se origina en el campo «generateName» del objeto Argo Workflow utilizado para crear la canalización, dijo Weizman.

Se implementaron al menos dos pods en cada clúster: uno para la minería de CPU y el otro para la minería de GPU. El contenedor de la GPU usó el Ethminer de código abierto para extraer Ethereum, mientras que el minero de la CPU usó el minero XMRIG Monero de código abierto mencionado anteriormente.

Como parte del flujo de ataques en curso, los atacantes utilizan un contenedor de reconocimiento, también ejecutado por un pod de TensorFlow, para recopilar información sobre el entorno, como detalles de la GPU y la CPU, en preparación para la minería.

Qué hacer para evitar un ciberataque

Microsoft ha aconsejado a quienes ejecutan Kubeflow que se aseguren de haber bloqueado el panel centralizado para que no quede expuesto de forma insegura a Internet. Si Kubeflow necesita estar expuesto a Internet, asegúrese de que requiera autenticación.

Microsoft proporcionó la muestra de Kubeflow que se usa para admitir OpenID Connect (OIDC) mediante Azure Active Directory para implementaciones de Azure. Para que todos los pods del clúster funcionen en formato JSON, ejecute: kubectl get pod –all-namespaces -o json…

… Y busque contenedores que ejecuten imágenes de TensorFlow. Si existen, inspeccione el punto de entrada de esos contenedores, recomienda Microsoft.

Criptominería: pesos de plomo que empantanan la nube

Yaniv Bar-Dayan, CEO y cofundador de Vulcan Cyber, dijo que la criptominería no es nada de lo que se pueda desprender, dado el éxito que tiene en los recursos de la nube.

«Si bien las campañas de criptominería pueden parecer inofensivas, agotan los recursos de la nube, infligen costos adicionales de nube y servicios públicos a las partes atacadas, acortan la vida útil de los dispositivos de TI y causan interrupciones comerciales innecesarias», dijo el jueves a Threatpost por correo electrónico.

Estas campañas también resaltan el riesgo de exposición de las organizaciones, señaló, en otras palabras, si un atacante puede realizar un ataque de criptominería, pueden obtener resultados aún peores. «Si un atacante puede lanzar una campaña de criptominería en la infraestructura de una organización, es probable que también pueda lanzar ransomware o tener acceso a datos, propiedad intelectual, archivos de personal y otros activos en riesgo que puedan dañar a una empresa en caso de infracción». él continuó.

Bar-Dayan dijo que Vulcan Cyber ​​recomienda tomar las medidas de defensa adecuadas. Por ejemplo, asegúrese de que sus configuraciones sean correctas y, como Microsoft, asegúrese de que sus sistemas no estén expuestos a la Internet abierta. Además, asegúrese de que se hayan implementado los controles de acceso e identidad correctos.

El imparable crecimiento de Kubernetes genera cada vez más amenazas

Mark Bower, vicepresidente senior de comforte AG, señaló que, al igual que el uso de picos de Kubernetes, las amenazas también lo atacaron. «El crecimiento de Kubernetes es imparable y, si bien ofrece enormes beneficios de agilidad a las empresas para la entrega ágil de aplicaciones, hay dos características que lo convierten en un objetivo de ataque ideal para la explotación», dijo a Theatpost por correo electrónico el jueves.

«Primero, el ecosistema es nuevo y muy complejo», escribió. “En segundo lugar, las cargas de trabajo a menudo están relacionadas con el procesamiento de IA, lo que requiere cargas de trabajo de procesamiento muy grandes que no siempre son predecibles. La IA se trata de explorar incógnitas, por lo que un patrón regular de uso de la computación no es fácil de determinar para saber qué es normal y anormal. Como resultado, representa un objetivo ideal para que la criptominería se esconda entre los posibles miles de microservicios involucrados que se ejecutan en computación escalada.

Eso no es lo peor, dijo Bower. Lo que es aún más preocupante es que, en su mayor parte, las funciones de seguridad de datos integradas en Kubernetes «cumplen con los estándares mínimos esenciales: protección de datos en reposo y datos en movimiento. No existe una protección permanente de los datos en sí, por ejemplo. Por ejemplo, utilizando técnicas aceptadas por la industria, como la tokenización a nivel de campo. Por lo tanto, si un ecosistema se ve comprometido por la criptominería y la explotación cibernética, es solo cuestión de tiempo antes de que los datos confidenciales que procesa sucumban a un ataque más insidioso. Durante los últimos 12 meses Las vulnerabilidades de Kubernetes relacionadas con la escalada de privilegios, las brechas de firewall y la ejecución remota de código en las herramientas de Kubernetes ciertamente muestran que es vulnerable.

Un ejemplo sorprendente de la vulnerabilidad de Kubernetes surgió hace unos días cuando Siloscape, el primer malware dirigido a contenedores de Windows, salió de los clústeres de Kubernetes para instalar puertas traseras y acceder a los nodos para obtener credenciales.

061021 ACTUALIZACIÓN 14:00: Se agregó información de Mark Bower.

Descargue nuestro exclusivo eBook Insider GRATUITO en Threatpost, «2021: la evolución del ransomware« para ayudarlo a perfeccionar sus estrategias de defensa cibernética contra este flagelo creciente. Vayamos más allá del status quo para descubrir qué sigue para el ransomware y sus riesgos emergentes. Obtenga toda la historia y DESCARGAR el eBook ahora – ¡sobre nosotros!

.

Deberías compartir en tus redes sociales para que tus colegas lo consulten

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *