研究人員發(fā)現(xiàn)，有超過38萬個(gè)Kubernetes API服務(wù)器允許對(duì)公共互聯(lián)網(wǎng)進(jìn)行訪問，這就使得這個(gè)用于管理云部署的流行開源容器成為了威脅者的一個(gè)攻擊目標(biāo)和廣泛的攻擊面。

根據(jù)本周發(fā)表的一篇博文，Shadowserver基金會(huì)在掃描互聯(lián)網(wǎng)上的Kubernetes API服務(wù)器時(shí)發(fā)現(xiàn)了這個(gè)問題，受影響的服務(wù)器已經(jīng)超過了45萬個(gè)。

根據(jù)該帖子，ShadowServer每天會(huì)對(duì)IPv4空間的443和6443端口進(jìn)行掃描，尋找響應(yīng)'HTTP 200 OK狀態(tài)'的IP地址，這表明該請(qǐng)求已經(jīng)成功。

研究人員說，在Shadowserver發(fā)現(xiàn)的超過45萬個(gè)Kubernetes API實(shí)例中，有381645個(gè)響應(yīng)為 "200 OK"。 總的來說，Shadowserver發(fā)現(xiàn)了454,729個(gè)Kubernetes API服務(wù)器。因此，開放的API實(shí)例占Shadowserver掃描的所有實(shí)例的近84%。

此外，根據(jù)該帖子，大部分可訪問的Kubernetes服務(wù)器有201348個(gè)，有將近53%是在美國被發(fā)現(xiàn)的。

根據(jù)該帖子，雖然這種掃描結(jié)果并不意味著這些服務(wù)器完全開放或容易受到攻擊，但它確實(shí)有這樣一種情況，這些服務(wù)器都有一個(gè)"不必要的暴露的攻擊面" 。

研究人員指出，這種訪問很可能是無意的。他們補(bǔ)充說，這種暴露還可能會(huì)出現(xiàn)各種版本和構(gòu)建信息發(fā)生泄漏。

云設(shè)施一直在處于攻擊之中

鑒于攻擊者目前已經(jīng)越來越多地對(duì)Kubernetes云集群進(jìn)行攻擊，并利用它們對(duì)云服務(wù)發(fā)起其他攻擊，這些發(fā)現(xiàn)令人非常不安。事實(shí)上，云服務(wù)設(shè)施曾經(jīng)就出現(xiàn)過由于錯(cuò)誤的配置，從而產(chǎn)生了各種損失，當(dāng)然，Kubernetes也毫不例外。

事實(shí)上，數(shù)據(jù)安全公司comforte AG的網(wǎng)絡(luò)安全專家在給媒體的一封電子郵件中說，他對(duì)Shadowserver掃描發(fā)現(xiàn)這么多暴露在公共互聯(lián)網(wǎng)上的Kubernetes服務(wù)器并不驚訝。

他說，Kubernetes為企業(yè)的敏捷應(yīng)用交付提供了很高的便捷性，有很多特點(diǎn)會(huì)使它成為理想的被攻擊利用的目標(biāo)。例如，由于應(yīng)用內(nèi)部會(huì)運(yùn)行許多容器，所以Kubernetes會(huì)有一個(gè)很大的攻擊面，如果不能保證安全，那么就會(huì)被攻擊者利用。

開源設(shè)施的安全性

這些問題的出現(xiàn)還引出了一個(gè)長期存在的問題，即如何確保開源系統(tǒng)的安全性，這些系統(tǒng)作為現(xiàn)代互聯(lián)網(wǎng)和云基礎(chǔ)設(shè)施的一部分，開始變得無處不在，這也就使得針對(duì)它們的攻擊變成了針對(duì)其所連接的所有系統(tǒng)的攻擊。

這個(gè)問題在去年12月出現(xiàn)的無處不在的Java日志庫Apache Log4j中的Log4Shell漏洞的案例中就已經(jīng)被人們注意到。

這個(gè)漏洞很容易被利用，它允許攻擊者未經(jīng)授權(quán)的進(jìn)行遠(yuǎn)程代碼執(zhí)行(RCE)攻擊以及完全接管服務(wù)器。事實(shí)上，最近的一份報(bào)告發(fā)現(xiàn)，盡管Log4Shell發(fā)布了補(bǔ)丁，但數(shù)以百萬計(jì)的Java應(yīng)用程序仍然存在大量的漏洞。

Shadabi說，Kubernetes的一個(gè)致命弱點(diǎn)是，該平臺(tái)內(nèi)置的數(shù)據(jù)安全功能只是在最低限度的保護(hù)靜態(tài)數(shù)據(jù)。在云環(huán)境中，這是一個(gè)非常危險(xiǎn)的情況。

并且，沒有對(duì)數(shù)據(jù)本身進(jìn)行持續(xù)的保護(hù)，例如并未使用一些行業(yè)公認(rèn)的技術(shù)，如字段級(jí)的標(biāo)記化。因此，如果一個(gè)生態(tài)系統(tǒng)被破壞，它所處理的敏感數(shù)據(jù)遲早會(huì)受到更隱蔽的攻擊。

Shadabi對(duì)于那些在生產(chǎn)環(huán)境中使用容器和Kubernetes的組織的建議是，要像對(duì)待IT基礎(chǔ)設(shè)施一樣認(rèn)真全面的對(duì)待Kubernetes的安全。

Shadowserver方面建議，如果管理員發(fā)現(xiàn)他們環(huán)境中的Kubernetes實(shí)例可以訪問互聯(lián)網(wǎng)，他們應(yīng)該考慮采取訪問授權(quán)或在防火墻層面進(jìn)行阻斷，減少暴露的攻擊面。

本文翻譯自：https://threatpost.com/380k-kubernetes-api-servers-exposed-to-public-internet/179679/如若轉(zhuǎn)載，請(qǐng)注明原文地址。