Os clusters Kubernetes pertencentes a mais de 350 organizações, projetos de código aberto e indivíduos foram detectados como acessíveis e desprotegidos, sendo que mais da metade deles foi violada e teve uma campanha ativa com malware/backdoors implantados. A informação é da empresa de segurança cibernética Aqua Security, que descobriu a violação após uma investigação de três meses por sua equipe de pesquisa, Nautilus.
Segundo os pesquisadores, a maioria dos clusters estava ligada a organizações de pequeno a médio porte, mas um subconjunto notável estava conectado a grandes conglomerados e empresas que figuram na lista da Fortune 500. As exposições foram resultado de duas configurações incorretas: uma que permite acesso anônimo com privilégios e outra que expõe clusters Kubernetes à internet.
O Kubernetes é um sistema de orquestração de código aberto que depende de contêineres para automatizar a implantação, dimensionamento e gerenciamento de aplicativos, geralmente em um ambiente de nuvem. Com o tempo, tornou-se o sistema operacional de fato da nuvem, mas também pode representar riscos e desafios de segurança significativos para as empresas.
O relatório State of Kubernetes Security Report de 2023 da Red Hat pesquisou 600 profissionais globais de DevOps, engenharia e segurança para descobrir os desafios de segurança mais comuns que as organizações enfrentam em sua jornada de adoção nativa da nuvem. Dos entrevistados, 38% citaram a segurança como uma das principais preocupações com estratégias de contêiner e Kubernetes, 67% atrasaram ou desaceleraram a implantação devido a preocupações de segurança do Kubernetes e 37% tiveram receita ou perda de clientes devido a um incidente de segurança de contêiner/Kubernetes.
Durante um período de três meses, os pesquisadores identificaram mais de 350 servidores de API que poderiam ser explorados por invasores. Ao analisar os hosts recém-descobertos, a equipe descobriu que 72% tinham as portas 443 e 6443 expostas (essas são as portas HTTPS padrão). Eles também descobriram que 19% dos hosts usavam portas HTTP como 8001 e 8080, enquanto o restante usava portas menos comuns, por exemplo, 9999.
“A distribuição do host revelou que, embora a maioria [85%] tivesse entre um e três nós, alguns hospedavam entre 20 e 30 nós em seus clusters Kubernetes. A contagem mais alta de nós pode indicar organizações maiores ou clusters mais significativos”, escreveram os pesquisadores da Aqua Security. Quanto à distribuição geográfica, a maioria dos servidores tinha afiliação de geolocalização à América do Norte, com uma pegada substancial da AWS. Em contraste, os provedores de nuvem chineses representaram cerca de 17% dos servidores.
Veja isso
Primeira operação para minerar a moeda Dero visou Kubernetes
Clusters kubernetes hackeados por malware via PostgreSQL
Os pesquisadores da Aqua Security descobriram que aproximadamente 60% dos clusters estavam ativamente sob ataque de criptomineradores. A equipe criou um ambiente honeypot para coletar mais dados sobre esses ataques para esclarecer as campanhas em andamento. Entre as principais descobertas, a Nautilus descobriu a recente e altamente agressiva campanha Silentbob, revelando o ressurgimento do TeamTNT visando clusters Kubernetes. Os pesquisadores também descobriram uma campanha de controle de acesso baseado em função (RBAC) para criar uma backdoor oculta, bem como campanhas de criptomineração, incluindo uma execução mais extensa da campanha Dero descoberta anteriormente com imagens de contêiner adicionais que cumulativamente tiveram centenas de milhares de pulls.
A pesquisa destacou duas configurações incorretas comuns, amplamente feitas por organizações e ativamente exploradas. A primeira concede acesso anônimo com privilégios em que um usuário não autenticado passa apenas por uma fase de autorização. “Por padrão, o usuário anônimo não tem permissões, mas vimos esse praticante na natureza e, em alguns casos, concedeu privilégios ao usuário anônimo”, escreveram os pesquisadores.
A segunda é uma configuração incorreta do proxy “kubectl” com sinalizadores que, sem saber, expõem o cluster Kubernetes à internet, disseram os pesquisadores. Os hosts afetados incluíram organizações em vários setores, como serviços financeiros, aeroespacial, automotivo, industrial e de segurança.
Nas mãos erradas, o acesso aos clusters Kubernetes de uma empresa pode ser o fim dos negócios”, disse Assaf Morag, analista líder de inteligência de ameaças da Aqua Nautilus. “Código proprietário, propriedade intelectual, dados de clientes, registros financeiros, credenciais de acesso e chaves de criptografia estão entre os muitos ativos sensíveis em risco.”
Como o Kubernetes ganhou imensa popularidade entre as empresas nos últimos anos devido à sua proeza inegável em orquestrar e gerenciar aplicativos em contêineres, as organizações estão confiando informações e tokens altamente confidenciais em seus clusters, acrescentou Morag. “Existe claramente uma lacuna no conhecimento de segurança e no gerenciamento do Kubernetes. Essas descobertas destacam os danos extensos que podem ocorrer se as vulnerabilidades não forem tratadas adequadamente.”
Para saber mais sobre a pesquisa, clique aqui (o texto está em inglês).