技術編輯:典典丨發自 思否編輯部
近日,有研究人員發現,超過 38 萬個 Kubernetes API 服務器允許以某種方式訪問公共互聯網,這讓用于管理云部署的流行開源容器 Kubernetes 變成了一個廣泛的攻擊域,易于被威脅者當作攻擊目標。
據本周的一篇博客稱,Shadowserver 基金會在掃描互聯網上的 Kubernetes API 服務器時發現了此問題。目前,受影響的服務器已經超過了 45 萬個。
ShadowServer 每天會對 IPv4 空間的端口 443 和 6443 進行掃描,尋找響應 “HTTP 200 OK 狀態” 的 IP 地址,若得到響應,則表示該請求已經成功。
研究人員表示,在 Shadowserver 發現的 454729 個 Kubernetes API 實例中,有 381645 個響應"200 OK"。因此,開放的 API 實例占 Shadowserver 掃描的所有 API 實例的近 84%。
此外,大部分可訪問的 Kubernetes 服務器共有 201348 個,其中有將近 53% 都位于美國。
該博客稱,雖然掃描的結果并不意味著這些服務器完全開放或容易受到攻擊,但它確實表明了這些服務器都存在"一個暴露的攻擊面 "。
研究人員指出,這種暴露可能會讓各種版本和構建的信息發生泄漏。
云設施一直在處于攻擊之中
讓人非常不安的是,已經有越來越多的攻擊者瞄準 Kubernetes 云集群進行攻擊。
但事實上,數據安全公司 comforte AG 的網絡安全專家 Erfan Shadabi 在給媒體的一封電子郵件中表示,對于 Shadowserver 掃描發現如此多 Kubernetes 服務器暴露在公共互聯網上這件事,他并不驚訝:
“Kubernetes 為企業的敏捷應用交付提供了很多便利,有一些特征使其成為理想的攻擊目標,例如,由于擁有許多容器,Kubernetes 有一個很大的攻擊面,如果不預先采取保護措施,就很有可能被攻擊者利用。”
開源設施的安全性
此發現引出了一個長期存在的問題,即如何構建開源系統的安全性,這些系統作為現代互聯網和云基礎設施的一部分,在互聯網中已經無處不在。因此,針對它們的攻擊已經成為了對它們所連接的無數系統的攻擊。
其實這個問題在去年就已被注意到,六個月前,研究人員發現了無處不在的 Java 日志庫 Apache Log4j 中的 Log4Shell 漏洞。
該漏洞很容易被利用,并且允許未經身份驗證的攻擊者遠程執行代碼 (RCE) 和完全接管服務器。最近的一份報告發現,盡管有可用于 Log4Shell 的補丁,但仍有數百萬的 Java 應用程序仍然存在大量漏洞。
據 Shadabi 稱,Kubernetes 存在一個致命弱點:平臺內置的數據安全功能只能以最低限度保護數據,并且數據本身沒有得到持續的保護,例如使用行業公認的技術,如字段級標記化等。因此,如果一個生態系統受到損壞,它所處理的敏感數據遲早會受到更隱蔽的攻擊。
Shadabi 對于那些在生產環境中使用容器和 Kubernetes 的組織的建議是,要像對待 IT 基礎設施一樣認真全面的對待 Kubernetes 的安全。
最后,Shadowserver 基金會建議,如果管理員發現其環境中的 Kubernetes 實例可以訪問互聯網,他們應該考慮采取訪問授權或在防火墻層面進行阻斷,以減少暴露的攻擊面。
參考鏈接:
