380 000 serwerów Kubernetes API dostępnych z sieci Internet

Badacze bezpieczeństwa z ShadowServer odkryli, że do ponad 380 000 serwerów Kubernetes API można uzyskać pewien rodzaj dostępu z publicznego Internetu, dzięki czemu kontenery typu open source do zarządzania wdrożeniami w chmurze, stają się łatwym celem ataku dla cyberprzestępców.

ShadowServer przeprowadza codzienne skanowanie przestrzeni IPv4 na portach 443 i 6443, szukając adresów IP, które odpowiadają ze statusem„ HTTP 200 OK ”, co wskazuje, że żądanie powiodło się.

Spośród ponad 450 000 instancji Kubernetes API zidentyfikowanych przez Shadowserver, 381 645 odpowiedziało „200 OK”, wskazali badacze ShadowServer. W sumie odnaleźli 454 729 serwerów Kubernetes API. „Otwarte” instancje API stanowią zatem prawie 84 procent wszystkich instancji, które zostały przeskanowane.

Co więcej, większość dostępnych serwerów Kubernetes – 201 348, czyli prawie 53 procent – ​​została znaleziona w Stanach Zjednoczonych.

Wyniki skanowania nie oznaczają jednoznacznie, że odnalezione instancje są w pełni otwarte i podatne na ataki, są po prostu niepotrzebnie narażane na możliwość przeprowadzenia ataku. Pozwalając przy tym na wyciek informacji, informuje ShadowServer.

Serwery Kubernetes API – źródło ShadowServer

Odkrycia te są wysoce niepokojące, biorąc pod uwagę, że napastnicy coraz częściej atakują klastry chmur Kubernetes, a także wykorzystują je do przeprowadzania innych ataków na usługi w chmurze. Rzeczywiście Cloud historycznie cierpi z powodu dużej ilości błędów m.in. konfiguracji, które nadal nękają wdrożenia, a Kubernetes nie jest wyjątkiem.

Odkrycia dotyczą również odwiecznego problemu, jak implementować zabezpieczenia w systemy open source, które stają się wszechobecne jako część nowoczesnej infrastruktury internetowej, opartej na chmurze, czyniąc atak na niezliczone systemy, z którymi są połączone.

Problem ten został już niestety naświetlony w przypadku luki Log4Shell w bibliotece logów Java Apache Log4j, wykrytej w grudniu ubiegłego roku.

Podatność tę można bardzo łatwo wykorzystać i daje możliwość zdalnego wykonania nieuwierzytelnionego kodu (RCE) oraz całkowite przejęcie serwera. Wyniki niedawnego raportu potwierdzają niestety, że miliony aplikacji Java wciąż są podatne na te ataki, mimo że dostępna jest poprawka dla Log4Shell.

Piętą achillesową, w szczególności Kubernetes, jest to, że funkcje bezpieczeństwa danych wbudowane w platformę są tylko na poziomie „absolutne minimum” – chroniąc dane w spoczynku i dane w użyciu. W środowisku chmury jest to niebezpieczna perspektywa.

Zobacz jak SentinelOne chroni środowisko konteneryzacji