超 38 萬個 Kubernetes API 伺服器暴露於網際網路

snakesss發表於2022-05-30

近日,有研究人員發現,超過 38 萬個 Kubernetes API 伺服器允許以某種方式訪問公共網際網路,這讓用於管理雲部署的流行開源容器 Kuvernetes 變成了一個廣泛的攻擊域,易於被威脅者當作攻擊目標。

據本週的一篇部落格稱,Shadowserver 基金會在掃描網際網路上的 Kubernetes API 伺服器時發現了此問題。目前,受影響的伺服器已經超過了 45 萬個。

ShadowServer 每天會對 IPv4 空間的埠 443 和 6443 進行掃描,尋找響應 'HTTP 200 OK 狀態 ' 的 IP 地址,若得到響應,則該請求已經成功。

研究人員表示,在 Shadowserver 發現的 454729 個 Kubernetes API 例項中,有 381645 個響應"200 OK"。因此,開放的 API 例項佔 Shadowserver 掃描的所有 API 例項的近 84%。

此外,大部分可訪問的 Kubernetes 伺服器共有 201348 個,其中有將近 53% 都位於美國。

該部落格稱,雖然掃描的結果並不意味著這些伺服器完全開放或容易受到攻擊,但它確實表明了這些伺服器中都存在"一個暴露的攻擊面 " 。

研究人員指出,這種暴露可能會讓各種版本和構建的資訊發生洩漏。

雲設施一直在處於攻擊之中

讓人非常不安的是,攻擊者已經越來越多地瞄準 Kubernetes 雲叢集進行攻擊。

但事實上,資料安全公司 comforte AG 的網路安全專家 Erfan Shadabi在給媒體的一封電子郵件中表示,對於 Shadowserver 掃描發現如此多 Kubernetes 伺服器暴露在公共網際網路上這件事,他並不驚訝:

“Kubernetes 為企業的敏捷應用交付提供了很多便利,有一些特徵使其成為理想的攻擊目標,例如,由於擁有許多容器,Kubernetes 有一個很大的攻擊面,如果不預先採取保護措施,就很有可能被攻擊者利用。”

開源設施的安全性

此發現引出了一個長期存在的問題,即如何構建開源系統的安全性,這些系統作為現代網際網路和雲基礎設施的一部分,在網際網路中已經無處不在。因此,針對它們的攻擊已經成為了對它們所連線的無數系統的攻擊。

其實這個問題在去年就已被注意到,六個月前,研究人員發現了無處不在的 Java 日誌庫 Apache Log4j 中的 Log4Shell 漏洞。

該漏洞很容易被利用,並且允許未經身份驗證的攻擊者遠端執行程式碼 (RCE) 和完全接管伺服器。最近的一份報告發現,儘管有可用於 Log4Shell 的補丁,但仍有數百萬的 Java 應用程式仍然存在大量漏洞。

據 Shadabi 稱,Kubernetes 存在一個致命弱點:平臺內建的資料安全功能只能以最低限度保護資料,並且資料本身沒有得到持續的保護,例如使用行業公認的技術,如欄位級標記化等。因此,如果一個生態系統受到損壞,它所處理的敏感資料遲早會受到更隱蔽的攻擊。

Shadabi 對於那些在生產環境中使用容器和 Kubernetes 的組織的建議是,要像對待 IT 基礎設施一樣認真全面的對待 Kubernetes 的安全。

最後,Shadowserver 基金會建議,如果管理員發現其環境中的 Kubernetes 例項可以訪問網際網路,他們應該考慮採取訪問授權或在防火牆層面進行阻斷,以減少暴露的攻擊面。

相關文章