錯誤配置Argo Workflows將會使Kubernetes雲叢集遭受攻擊

Argo面向Web的儀表板的錯誤配置許可權允許未經身份驗證的攻擊者在Kubernetes目標上執行程式碼，包括加密採礦容器。

安全研究人員警告說，Kubernetes 叢集正受到配置錯誤的Argo Workflows例項的攻擊。

Argo Workflows是一個開源的容器原生工作流引擎，用於在Kubernetes上協作並行任務，以加快機器學習和大資料處理等計算密集型任務的處理時間。它通常還用於簡化容器部署。與此同時，Kubernetes是一種流行的容器編排引擎，用於管理雲部署。

根據Intezer的一項分析，惡意軟體運營商正在透過Argo將加密礦工放入雲端，這是因為一些例項可以透過儀表盤公開，不需要外部使用者進行認證。因此，這些錯誤配置的許可權可能允許網路犯罪分子在受害者的環境中執行未經授權的程式碼。

根據週二釋出的分析，“大多數情況下，許可權配置允許任何訪問使用者部署工作流。” “在許可權配置錯誤的情況下，攻擊者有可能訪問開放的Argo儀表板，並提交他們自己的工作流程。”

研究人員表示，錯誤配置還可能暴露敏感資訊，例如程式碼、憑據和私有容器映像名稱(可用於協助其他型別的攻擊)。

透過對網路的掃描發現大量不受保護的例項，這些例項公司涵蓋多個行業，包括技術、金融和物流。網路安全公司表示：目前已經確定了受感染的節點，並且由於數百個錯誤配置的部署，有可能發生更大規模的攻擊。

在一個案例中，錯誤程式碼在Docker Hub中一個暴露的叢集上執行了九個月，然後才被發現和刪除。

攻擊並不難實施

研究人員觀察到不同流行的monero挖礦惡意軟體被放置在位於Docker Hub等儲存庫(包括 Kannix和XMRig)的容器中。

網路犯罪分子只需透過Argo或其他途徑將其中一個容器拉入Kubernetes。例如，微軟最近標記了一波礦工透過Kubeflow框架感染Kubernetes，以執行機器學習工作流。

研究人員表示：在Docker Hub中，攻擊者仍然可以使用許多monero挖礦選項。 透過簡單的搜尋，就能發現至少有45個其他容器，並且下載量達數百萬次。

如何檢查Argo配置錯誤

研究人員指出，檢視許可權是否配置正確的最快方法是嘗試從公司環境之外的未經認證的匿名瀏覽器訪問Argo工作流儀表板。

研究人員補充說，從技術手段上來說，可以查詢例項的API並檢查狀態程式碼。

根據分析，向 [your.instance:port]/api/v1/info 發出HTTP GET 請求。作為未經身份驗證的使用者，返回的HTTP狀態程式碼 '401 Unauthorized' 將指示正確配置的例項，而成功的狀態程式碼 '200 Success' 可能表明未經授權的使用者能夠訪問該例項。

管理員還可以檢查日誌和工作流時間線中的任何可疑活動。網路安全公司指出，任何執行時間過長的工作流都可能表明存在加密挖礦活動。

即使叢集部署在Amazon Web Service (AWS)、EKS 或Azure Kubernetes Service (AKS) 等託管雲Kubernetes服務上，共享責任模型仍然表明，雲客戶，而不是雲提供商，有必要負責對他們部署的應用程式進行必要的安全配置。

雲錯誤配置提供網路攻擊媒介

錯誤配置繼續困擾著各種規模的雲端計算部門和企業。去年秋天的一項分析發現，6%的谷歌雲端儲存桶配置錯誤，對公共網際網路開放，任何人都可以訪問它們的內容。

有時，這些問題將會造成嚴重的網路安全事故。3月份有訊息稱，Hobby Lobby 將138GB的敏感資訊存放在一個向公眾網際網路開放的雲容器中。這些資訊包括客戶姓名、部分支付卡資訊、電話號碼、實體地址和電子郵件地址。

根據雲原生計算基金會(CNCF) 2020年的一項調查，91%的受訪者正在使用Kubernetes，受訪者表示使用和部署容器的最大挑戰是複雜性、安全性和缺乏相關培訓。

網路安全人員稱，Kubernetes是GitHub上最受歡迎的儲存庫之一，擁有超過100,000次提交和超過3,000名貢獻者。每年使用Kubernetes的企業及其部署的叢集數量都在穩步增長。由於企業在使用容器和Kubernetes 叢集時面臨這些挑戰，攻擊者利用安全漏洞的機會相應增大，尤其錯誤配置或利用的可能性仍然存在。

安全漏洞為網路犯罪分子提供了大量機會，資料顯示，90%以上的網路安全問題是由軟體自身的安全漏洞被利用導致!因此軟體產品在開發過程中建議將安全前置，透過在開發週期過程中加強 軟體安全測試，來減少系統安全漏洞，降低被網路犯罪分子攻擊的機率。