Argo面向Web的儀表板的錯(cuò)誤配置權(quán)限允許未經(jīng)身份驗(yàn)證的攻擊者在Kubernetes目標(biāo)上運(yùn)行代碼，包括加密采礦容器。

安全研究人員警告說(shuō)，Kubernetes 集群正受到配置錯(cuò)誤的Argo Workflows實(shí)例的攻擊。

[[414555]]

Argo Workflows是一個(gè)開(kāi)源的容器原生工作流引擎，用于在Kubernetes上協(xié)作并行任務(wù)，以加快機(jī)器學(xué)習(xí)和大數(shù)據(jù)處理等計(jì)算密集型任務(wù)的處理時(shí)間。它通常還用于簡(jiǎn)化容器部署。與此同時(shí)，Kubernetes是一種流行的容器編排引擎，用于管理云部署。

根據(jù)Intezer的一項(xiàng)分析，惡意軟件運(yùn)營(yíng)商正在通過(guò)Argo將加密礦工放入云端，這是因?yàn)橐恍?shí)例可以通過(guò)儀表盤(pán)公開(kāi)，不需要外部用戶(hù)進(jìn)行認(rèn)證。因此，這些錯(cuò)誤配置的權(quán)限可能允許網(wǎng)絡(luò)犯罪分子在受害者的環(huán)境中運(yùn)行未經(jīng)授權(quán)的代碼。

根據(jù)周二發(fā)布的分析，“大多數(shù)情況下，權(quán)限配置允許任何訪問(wèn)用戶(hù)部署工作流。” “在權(quán)限配置錯(cuò)誤的情況下，攻擊者有可能訪問(wèn)開(kāi)放的Argo儀表板，并提交他們自己的工作流程。”

研究人員表示，錯(cuò)誤配置還可能暴露敏感信息，例如代碼、憑據(jù)和私有容器映像名稱(chēng)(可用于協(xié)助其他類(lèi)型的攻擊)。

通過(guò)對(duì)網(wǎng)絡(luò)的掃描發(fā)現(xiàn)大量不受保護(hù)的實(shí)例，這些實(shí)例公司涵蓋多個(gè)行業(yè)，包括技術(shù)、金融和物流。網(wǎng)絡(luò)安全公司表示：目前已經(jīng)確定了受感染的節(jié)點(diǎn)，并且由于數(shù)百個(gè)錯(cuò)誤配置的部署，有可能發(fā)生更大規(guī)模的攻擊。

在一個(gè)案例中，錯(cuò)誤代碼在Docker Hub中一個(gè)暴露的集群上運(yùn)行了九個(gè)月，然后才被發(fā)現(xiàn)和刪除。

攻擊并不難實(shí)施

研究人員觀察到不同流行的monero挖礦惡意軟件被放置在位于Docker Hub等存儲(chǔ)庫(kù)(包括 Kannix和XMRig)的容器中。

網(wǎng)絡(luò)犯罪分子只需通過(guò)Argo或其他途徑將其中一個(gè)容器拉入Kubernetes。例如，微軟最近標(biāo)記了一波礦工通過(guò)Kubeflow框架感染Kubernetes，以運(yùn)行機(jī)器學(xué)習(xí)工作流。

研究人員表示：在Docker Hub中，攻擊者仍然可以使用許多monero挖礦選項(xiàng)。 通過(guò)簡(jiǎn)單的搜索，就能發(fā)現(xiàn)至少有45個(gè)其他容器，并且下載量達(dá)數(shù)百萬(wàn)次。

如何檢查Argo配置錯(cuò)誤

研究人員指出，查看權(quán)限是否配置正確的最快方法是嘗試從公司環(huán)境之外的未經(jīng)認(rèn)證的匿名瀏覽器訪問(wèn)Argo工作流儀表板。

研究人員補(bǔ)充說(shuō)，從技術(shù)手段上來(lái)說(shuō)，可以查詢(xún)實(shí)例的API并檢查狀態(tài)代碼。

根據(jù)分析，向 [your.instance:port]/api/v1/info 發(fā)出HTTP GET 請(qǐng)求。作為未經(jīng)身份驗(yàn)證的用戶(hù)，返回的HTTP狀態(tài)代碼 '401 Unauthorized' 將指示正確配置的實(shí)例，而成功的狀態(tài)代碼 '200 Success' 可能表明未經(jīng)授權(quán)的用戶(hù)能夠訪問(wèn)該實(shí)例。

管理員還可以檢查日志和工作流時(shí)間線中的任何可疑活動(dòng)。網(wǎng)絡(luò)安全公司指出，任何運(yùn)行時(shí)間過(guò)長(zhǎng)的工作流都可能表明存在加密挖礦活動(dòng)。

即使集群部署在Amazon Web Service (AWS)、EKS 或Azure Kubernetes Service (AKS) 等托管云Kubernetes服務(wù)上，共享責(zé)任模型仍然表明，云客戶(hù)，而不是云提供商，有必要負(fù)責(zé)對(duì)他們部署的應(yīng)用程序進(jìn)行必要的安全配置。

云錯(cuò)誤配置提供網(wǎng)絡(luò)攻擊媒介

錯(cuò)誤配置繼續(xù)困擾著各種規(guī)模的云計(jì)算部門(mén)和企業(yè)。去年秋天的一項(xiàng)分析發(fā)現(xiàn)，6%的谷歌云存儲(chǔ)桶配置錯(cuò)誤，對(duì)公共互聯(lián)網(wǎng)開(kāi)放，任何人都可以訪問(wèn)它們的內(nèi)容。

有時(shí)，這些問(wèn)題將會(huì)造成嚴(yán)重的網(wǎng)絡(luò)安全事故。3月份有消息稱(chēng)，Hobby Lobby 將138GB的敏感信息存放在一個(gè)向公眾互聯(lián)網(wǎng)開(kāi)放的云容器中。這些信息包括客戶(hù)姓名、部分支付卡信息、電話號(hào)碼、物理地址和電子郵件地址。

根據(jù)云原生計(jì)算基金會(huì)(CNCF) 2020年的一項(xiàng)調(diào)查，91%的受訪者正在使用Kubernetes，受訪者表示使用和部署容器的最大挑戰(zhàn)是復(fù)雜性、安全性和缺乏相關(guān)培訓(xùn)。

網(wǎng)絡(luò)安全人員稱(chēng)，Kubernetes是GitHub上最受歡迎的存儲(chǔ)庫(kù)之一，擁有超過(guò)100,000次提交和超過(guò)3,000名貢獻(xiàn)者。每年使用Kubernetes的企業(yè)及其部署的集群數(shù)量都在穩(wěn)步增長(zhǎng)。由于企業(yè)在使用容器和Kubernetes 集群時(shí)面臨這些挑戰(zhàn)，攻擊者利用安全漏洞的機(jī)會(huì)相應(yīng)增大，尤其錯(cuò)誤配置或利用的可能性仍然存在。

安全漏洞為網(wǎng)絡(luò)犯罪分子提供了大量機(jī)會(huì)，數(shù)據(jù)顯示，90%以上的網(wǎng)絡(luò)安全問(wèn)題是由軟件自身的安全漏洞被利用導(dǎo)致!因此軟件產(chǎn)品在開(kāi)發(fā)過(guò)程中建議將安全前置，通過(guò)在開(kāi)發(fā)周期過(guò)程中加強(qiáng)軟件安全測(cè)試，來(lái)減少系統(tǒng)安全漏洞，降低被網(wǎng)絡(luò)犯罪分子攻擊的幾率。

參讀鏈接：https://threatpost.com/kubernetes-cyberattacks-argo-workflows/167997/