900.000'den fazla yanlış yapılandırılmış Kubernetes kümesi, internette potansiyel olarak kötü amaçlı taramalara maruz kaldı, hatta bazıları veri açığa çıkan siber saldırılara karşı savunmasız.
Kubernetes, çevrimiçi hizmetleri barındırmak ve tek tip bir API arayüzü aracılığıyla kapsayıcı iş yüklerini yönetmek için çok yönlü bir açık kaynaklı konteyner düzenleme sistemidir.
Ölçeklenebilirliği, çoklu bulut ortamlarındaki esnekliği, taşınabilirliği, maliyet, uygulama geliştirme ve sistem dağıtım süresi azaltmaları sayesinde büyük benimseme ve büyüme oranlarına sahiptir.
Bununla birlikte, Kubernetes düzgün yapılandırılmamışsa, uzak aktörler kamuya açıklanmayan iç kaynaklara ve özel varlıklara erişebilir.
Ek olarak, yapılandırmaya bağlı olarak, davetsiz misafirler bazen ayrıcalıklarını izolasyonu kırmak ve süreçlere ev sahipliği yapmak için pivotları arayabilir ve bu da itici saldırılar için dahili kurumsal ağlara sağlam erişim sağlar.
Cyble'daki araştırmacılar, benzer tarama araçları ve kötü amaçlı aktörler tarafından istihdam edilenlere arama sorguları kullanarak, internet genelinde açık Kubernetes örneklerini bulmak için bir egzersiz yaptılar.
Sonuçlar,% 65'i (585.000) Amerika Birleşik Devletleri'nde,% 14'ü Almanya'da, Hollanda ve İrlanda'nın her biri% 6'dır.
Maruz kalan sunuculardan en çok maruz kalan TCP bağlantı noktaları “443” idi, bir milyondan fazla örnek, “10250” 231, 200 ve “6443” sayıyor.
Bu maruz kalan kümelerin hepsinin sömürülemediğinin altını çizmek önemlidir ve hatta olanlar arasında bile, risk seviyesi bireysel konfigürasyona bağlı olarak değişir.
Maruz kalan örneklerin kaçının önemli risk altında olabileceğini değerlendirmek için Cyble, Kubelet API'sına kimlik doğrulanmamış isteklere geri dönen hata kodlarına baktı.
Maruz kalan örneklerin büyük çoğunluğu 403 hata kodu döndürür, yani kimlik doğrulanmamış talep yasaktır ve geçemez, böylece hiçbir saldırı onlara karşı geçemez.
Sonra, 401 hata kodu ile cevap veren ve talebin yetkisiz olduğunu belirten yaklaşık beş bin örneğin bir alt kümesi vardır.
Bununla birlikte, bu yanıt potansiyel bir saldırgana kümenin işlediğine dair bir ipucu verir ve istismarlara ve güvenlik açıklarına dayalı ek saldırılar deneyebilirler.
Son olarak, tamamen harici saldırganlara maruz kalan bir durum kodu 200 döndüren 799 Kubernetes örneğinin küçük bir alt kümesi vardır.
Bu durumlarda, tehdit aktörleri Kubernetes Gösterge Tablosundaki düğümlere şifre olmadan erişebilir, tüm sırlara erişebilir, eylemleri gerçekleştirebilir, vb.
Savunmasız Kubernetes sunucularının sayısı oldukça düşük olsa da, ihtiyacınız olan tek şey, saldırılara karşı savunmasız hale gelmesi için çok daha fazla sayıda cihazın keşfedilmesi için uzaktan sömürülebilir bir güvenlik açığıdır.
Kümenizin 799 arasında veya hatta daha az ciddi şekilde maruz kalan 5.000 örnekte olmamasını sağlamak için NSA ve CISA’nın Kubernetes sisteminizin güvenliğini sertleştirme konusundaki rehberliğine danışın.
Geçen ay, Shadowserver Vakfı, 200 HTTP hata kodu ile yanıt veren 381.645 benzersiz IPS'yi keşfettikleri açık Kubernetes örnekleri hakkında bir rapor yayınladı.
Cyble, BleepingComputer'a bu büyük tutarsızlığın nedeninin, herhangi bir tehdit oyuncusu için mevcut olacak açık kaynak tarayıcılar ve basit sorgular kullandıklarını söylerken, Shadowserver tüm IPv4 alanını taradı ve her gün yeni eklemeler için izliyor.
"Sonumuzdan yayınlanan Kubernetes blogunda verilen istatistikler, açık kaynak tarayıcılar ve ürün için mevcut sorular temelindedir. Blogda belirtildiği gibi,“ Kubernetes ”,“ Kubernetes sorguları temelinde araştırdık. -Master ”,“ Kubernetesdashboard ”,” K8 ”ve Favicon Hashes ile birlikte 200.403 ve 401,” diye açıkladı Cyble.
"Shadowserver, Kubernetes'teki bloglarına göre pozlamayı bulmak için farklı bir yaklaşım benimser ' /sürüm uri'yi kullanarak bir HTTP GET isteği ile günlük olarak tararız. 6443 ve 443 bağlantı noktalarındaki tüm IPv4 alanını tararız. Bu, 200 OK ile yanıt verir (eşlik eden JSON yanıtı ile) ve bu nedenle versiyon bilgilerini yanıtlarında açıklar. ””
"Shadow Server gibi tam IPv4 alanını taramadığımız ve açık kaynaktaki Intel'e güvenmediğimiz için, elde ettiğimiz sonuçlar Shadowserver'dan farklı."
Cyble'ın rakamları o kadar etkileyici olmasa da, bu sayıların bulunması ve saldırması çok kolay Kubernetes kümelerine karşılık geldiği perspektifinden çok önemlidir.
Flagstar Bank, 1,5 milyon müşteriyi etkileyen veri ihlalini açıklıyor
WiFi Probing akıllı telefon kullanıcılarını izlemeye maruz bırakıyor, bilgi sızıntıları
Android Haziran 2022 Güncellemeleri Kritik RCE güvenlik açığı için düzeltme getirin
Fidye yazılımı çeteleri artık kurbanlara itibarlarını kurtarmaları için zaman veriyor
İnternette 3,6 milyondan fazla MySQL sunucusu bulundu
Kaynak: Bleeping Computer